none
清查所有server端與client端內的帳號 RRS feed

  • 問題

  • 小弟公司的環境內約有2000台左右的clients(機乎都是Windows XP), server約有160台.
    大大小小windows-based server為數不少台, 他們可能是DC, SMS, WSUS...等等
    大部份都在AD的管轄內.

    因為分公司的駐點工程師帳號帶有administrator權限, 都可以自行的新增帳號, 導致資安問題很難控管.

    主管要求我能夠列出所有windows-based server和client端電腦裡所有的帳號和他們擁有的權限.
    以便清查, 大力掃蕩一些非法過高權限的帳號.

    小弟已經找了一堆小程式看能不能夠使用, 但多半不服合我的要求
    只好請版上高人指點了, 謝謝.

    BR
    Sean Lin

    2009年10月14日 上午 08:23

解答

  • 個人覺得可能要訂更細的短/中/長程計畫

    例如:
    公司原則: 員工只能用, 分公司工程師只能設定資源分享與除錯, 總公司工程師才能依人事部要求開設帳號.
    執行方針: 工程師各別用各自帳號, 並且設定相關稽核制度.

    短期計畫:
    列出目前各電腦帳號與分享.

    可以用遠端桌面 -> 電腦管理 -> 使用者及群組 -> 匯出
    或者 net view \\電腦
    多台的話, 再利用批次檔或 vbs , 由 GPO 配到各電腦, 各電腦開機時執行, 並回傳到總公司.


    中期計畫:
    調整所有電腦的設定值.

    長期計畫:
    符合公司原則.


    UN-limited Taiwan is unlimited.
    • 已標示為解答 Sean K.H. Lin 2009年10月15日 上午 12:53
    2009年10月14日 上午 10:22

所有回覆

  • 建議再描述更多關於架構的部份, 例如:

    總公司是否有 AD ? 分公司是否有 AD ? 兩者間是否有樹系/信任關係?

    管理人員是各字有帳號, 擁有管理員權限, 或是一個專用管理員帳號, 由多人共用?

    UN-limited Taiwan is unlimited.
    2009年10月14日 上午 08:34
  • 總公司有AD, 有5個domain, 現在要清查的為其中一個domain, 內有4個site.
    分公司與總公司都是在同一個domain下面, 沒有樹系和信任關係的問題存在 (其他的domain在國外, 或是旗下投資子公司)

    分公司電腦都會加入AD控管, 但是由總公司的系統管理員加入電腦AD, 分公司工程師沒有加入AD密碼.
    但他們可以使用的帳號 (我們ghost給他們的硬碟裡就有了) 是擁有administrator的權限, 而分公司人員的帳號, 分公司工程師也是開administrator權限給他們.

    所以分公司一台電腦裡面最少會有三個帳號 1. 總公司系統工程師 2. 分公司工程師 (前兩個都是本機帳號) 3. 分公司員工 (AD帳號)

    但每台電腦一定不只三個, 因為常會因為方便性, 東加加西加加, 而且都是administrator權限的AD帳號.
    但最終我們清查的目地是怕那些分公司員工開設分享資料夾for everyone, 會有資安問題

    但在清查分享資料夾的問題我們可以解決, 但就帳號濫開濫用的根本問題我們也得要解決.
    方法是有了, 但現階段是, 我們該如何去找到所有在這2000台電腦裡不該存在的帳號, 刪光他們.
    接著在搭配GPO來管理...

    謝謝指教喔 :)

    Sean Lin
    2009年10月14日 上午 08:46
  • 個人覺得可能要訂更細的短/中/長程計畫

    例如:
    公司原則: 員工只能用, 分公司工程師只能設定資源分享與除錯, 總公司工程師才能依人事部要求開設帳號.
    執行方針: 工程師各別用各自帳號, 並且設定相關稽核制度.

    短期計畫:
    列出目前各電腦帳號與分享.

    可以用遠端桌面 -> 電腦管理 -> 使用者及群組 -> 匯出
    或者 net view \\電腦
    多台的話, 再利用批次檔或 vbs , 由 GPO 配到各電腦, 各電腦開機時執行, 並回傳到總公司.


    中期計畫:
    調整所有電腦的設定值.

    長期計畫:
    符合公司原則.


    UN-limited Taiwan is unlimited.
    • 已標示為解答 Sean K.H. Lin 2009年10月15日 上午 12:53
    2009年10月14日 上午 10:22