Duke的隨手札記

2015/04/11

限制 Domain Users 權限不能加入、退出網域

Filed under: Windows Server — jj8113 @ 07:29:44

為什麼要限制 Domain Users 權限不能加入網域呢? 因為加入網域後可以存取企業資源,如果是私人帶筆電來公司加入網域,敏感資料容易被竊取,因此將加入網域的權限提高到 Domain Admins,或是僅有特定的網域帳戶才能協助加入網域,以便達到過濾的目的。

且這麼做還有一個好處,就是防止使用者私自退出網域,不受控管。退出網域基本上算是非常不好管制,因為只要有本機 Administrator,或是 Domain Admins、Enterprise Admins 其中一種權限就可以退出… 這種情況非常少,但如果客戶端有這些權限(最高的機率是擁有本機 Administrator),就可以私自退出網域。本篇的目的是必須要由網管人員代為加入,或多或少都可起到警惕的效果,因為人家知道你會這麼做。以下就以 ADSI 編輯器為例,將 Domain Users 預設能加入10部電腦到網域的次數改為0,也就是沒有權限可以將電腦加入網域。

※Windows Server 2000、2003 需要在 Winodws 原版安裝光碟中的 SUPPORT\TOOLS 中提取並安裝,才有 ADSI 編輯器。也可以在微軟網站上下載: http://www.microsoft.com/en-us/download/details.aspx?id=16770

1.開啟 ADSI 編輯器(adsiedit.msc)後,依序點選「執行」→「連線到」:

2.選擇您要管理的 DC 後,再點選「確定」:

3.選擇「DC=xxxx,DC=xxx」的網域控制站後再找到「ms-DS-MachineAccountQuota」。將預設值從10改為0即可:

4.我們最後再從客戶端測試加入網域,成功收到了「超過上限」的錯誤訊息:

回首頁 回首頁

廣告

發表迴響 »

仍無迴響。

RSS feed for comments on this post. TrackBack URI

發表評論

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

您的留言將使用 WordPress.com 帳號。 登出 / 變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 / 變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 / 變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 / 變更 )

連結到 %s

在 WordPress.com 建立免費網站或網誌.

%d 位部落客按了讚: