289
个编辑
更改
无编辑摘要
** 只要是Domain Admins组的成员均可访问本地计算机,而且具备"完全控制"的权限。
** 为了加强计算机的安全,对于敏感的计算机,建议将Domain Admins组从Administrators组中删除。
* Enterprise admins是根域中存在的两个全局安全组之一admins是根域中存在的两个全局安全组之一,该组成员能够修改Active Directory的计划,该计划将影响到Forest中所有的域。
** Enterprise Admins:企业管理组,可以对活动目录中整个林作修改,例如添加子域(Domain admins组中的成员也可以添加子域)。
** Schema Admins:架构管理组:可以对活动目录整个林做架构修改,也就是用户或组的一些属性选项卡之类的架构
* Domain users权限:
** 为了更好的对客户端权限进行管理和控制,只赋予终端用户Domain User组的权限。
** 但有些需要Local Administrator权限的软件就无法安装和运行。为满足特殊情况使用需求,建议办法是:
# 所有软件都安装在固定的Program Files目录,并通组策略赋予Program Files目录Domain Users组完全控制权限
# 通过组策略赋予注册表HKLM_SOFTWARE键Domain Users组完全控制权限
# 通过组策略赋予Domain Users组system32目录完全控制权限
通过以上3个地方的修改,90%的软件都可以正常运行了。
对于一些特殊的软件,我们用Filemon和Regmon来进行监控,找出所需的文件或注册表值,来适当放开权限。以上操作过程相当烦琐。