none
AD域设计的一个问题,请教高手 RRS feed

  • 问题

  •  

    要在办公区内部署域控,由于域中存在可以本地登陆的情况,导致有些人员他不登陆域,本地登陆无法实施必要的监控。为了解决这个问题我想到一个想法:就是想让每个域控的站点服务器做所有连接在这台域控的计算机的网关。域控与电脑之间通过交换机互联,交换机上的每个vlan的网关设在域控上。

    问题1:这样方案可以实现不?

    问题2:配合一定策略实现不登录域控就不能访问其他不同网段的网络吗?

    问题3:如果可以实现有什么缺点?

    热烈期盼高手解答

    2008年10月7日 11:33

答案

  •  

    一切服务,文件共享,打印,邮件,企业应用程序 都绑定到域帐号上,看他还不用域帐号?

     

    本地登录帐号不给任何权限,只有user权限,看他还用不?

     

    呵呵,技术上都能做,只是如果某个VIP来说我一定要,怎么办? 归根到底还是靠 policy,规章制度

    2008年11月10日 7:47
    版主

全部回复

  • 你的问题应该是只允许登陆到域,而不能登陆到本地,对吧?

    1、你所使用的网关和VLAN不能解决此问题(这两者没有关联)

    2、这不是好的办法,需求不合理、实现复杂,增加排错困难。

    实现方法:

    使用组策略拒绝非域帐户在本地登陆

    计算机配置-〉Windows设置-〉安全设置-〉本地策略-〉用户权限分配-〉允许在本地登陆-〉添加组“Domain users”,还需加入本地管理员组。任何策略在部署之前必须测试,且要全局考虑。

    2008年10月8日 8:35
  • 计算机技术在先进,想达到制度上的遵从都不是很完美的,只能是制度需要然后想办法去解决。当然,活动目录已经可以帮助我们做到很多事情。

     

    不知道您所在的企业是否是国企,国企可能就比较难办。需要领导的认同和全力支持。

     

    想达到您的这种遵从

    建议:

    先下发行政制度:普通用户必须登录域,特殊用户例外(特殊情况特殊考虑);并且收回本地用户权限(更改所有本地管理员密码);另外禁止随意重新安装操作系统。

    制度下发后实施(可以部分区域试行后整体推行)。

     

     

    希望对您有所帮助!

    2008年10月8日 8:50
  •  

     先要有制度。技术不是万能的。
    2008年11月7日 9:00
  •  

    一切服务,文件共享,打印,邮件,企业应用程序 都绑定到域帐号上,看他还不用域帐号?

     

    本地登录帐号不给任何权限,只有user权限,看他还用不?

     

    呵呵,技术上都能做,只是如果某个VIP来说我一定要,怎么办? 归根到底还是靠 policy,规章制度

    2008年11月10日 7:47
    版主
  • 楼主的思路存在问题,呵呵。如果只是为了限制用户仅能登陆域,那么2楼是正解。

    问题2,以前也有客户这样问过。如果下面不登陆域,就不让上网,当时不知道怎么解决。现在想想,用策略限制一下,不登陆域,电脑无法使用,用户还能不登陆域么?

    问题3:如果真的这么实施,每个Vlan网关都用域控来做。vlan 的数据流转必然受制于服务器的负载,形成网络的瓶颈。

    ----

    粗浅简介。

    2008年11月21日 16:24
  •  FrankGuan 写:

     

    一切服务,文件共享,打印,邮件,企业应用程序 都绑定到域帐号上,看他还不用域帐号?

     

    本地登录帐号不给任何权限,只有user权限,看他还用不?

     

    呵呵,技术上都能做,只是如果某个VIP来说我一定要,怎么办? 归根到底还是靠 policy,规章制度

     
    哥们讲的好
     
    他能不用域就会不用
     
    你把它所有的应用加到域中user权限降低他必须用
     
    要做就整体的做
     
    规章制度是人定的
    2008年11月28日 9:30