none
Windows 2003 Server Group Policy 的問題 RRS feed

  • 問題

  • 請問各位先進
          我公司有近200台電腦,最近上司想把本機最大權限拿掉,不讓User去安裝或執行某一些程式
          可是有幾個單位又要對本機硬碟做寫入的動作(單某幾個資料夾),又會造成權限不足
    我的問題是

    1. 用Group Policy要如何把本機最大權限拿掉,而不用去User一個一個去跑

    2. 要對本機硬碟做寫入的動作的單位,要如何去用Group Policy對某幾個資料夾做設定

    3. 是否可以針對對幾個帳號做排除(也就是老闆有最大權限)

    謝謝大家幫忙,解除我的疑惑

    2009年11月10日 上午 02:53

解答

  • Hi Logic_Yang

    首先要確定一下你公司是否在Active Directory 環境, 即是有一部Domain Controller 在你公司裹, 而每一部電腦已經加上你的domain 網絡?
    如果答案是的, 你可以跟蹤以下來做設定

    1. 用Group Policy要如何把本機最大權限拿掉,而不用去User一個一個去跑
    你在DC 上開啟Active Directory Users and Computers, 然後建立User account, 而所有user account(除了IT 管理員的ACCOUNT) 都設定只是屬於user group, 這樣便不讓User去安裝程式.

    2. 要對本機硬碟做寫入的動作的單位,要如何去用Group Policy對某幾個資料夾做設定
    只要你對某幾個資料夾做權限(Permissions) 設定, 每一個資料夾內容-->安全, 便可以加入你指定的user account / group, 然後針對每個user account / group 做適合設定, 如:寫入, 讀取.....

    3. 是否可以針對對幾個帳號做排除(也就是老闆有最大權限)
    雖然他是老闆, 但基於安全性理由, 不要在Active Directory Users and Computers 加入他的user account 在domain admins 組別. 你只好在他的電腦裹加入本機管理員(Local Administrator) 這樣他可以在他的電腦擁有做大權限.
    • 已提議為解答 Pat Mok 2009年11月10日 上午 05:49
    • 已標示為解答 Vincent Lin 2009年11月15日 下午 04:20
    2009年11月10日 上午 03:24

所有回覆

  • Hi Logic_Yang

    首先要確定一下你公司是否在Active Directory 環境, 即是有一部Domain Controller 在你公司裹, 而每一部電腦已經加上你的domain 網絡?
    如果答案是的, 你可以跟蹤以下來做設定

    1. 用Group Policy要如何把本機最大權限拿掉,而不用去User一個一個去跑
    你在DC 上開啟Active Directory Users and Computers, 然後建立User account, 而所有user account(除了IT 管理員的ACCOUNT) 都設定只是屬於user group, 這樣便不讓User去安裝程式.

    2. 要對本機硬碟做寫入的動作的單位,要如何去用Group Policy對某幾個資料夾做設定
    只要你對某幾個資料夾做權限(Permissions) 設定, 每一個資料夾內容-->安全, 便可以加入你指定的user account / group, 然後針對每個user account / group 做適合設定, 如:寫入, 讀取.....

    3. 是否可以針對對幾個帳號做排除(也就是老闆有最大權限)
    雖然他是老闆, 但基於安全性理由, 不要在Active Directory Users and Computers 加入他的user account 在domain admins 組別. 你只好在他的電腦裹加入本機管理員(Local Administrator) 這樣他可以在他的電腦擁有做大權限.
    • 已提議為解答 Pat Mok 2009年11月10日 上午 05:49
    • 已標示為解答 Vincent Lin 2009年11月15日 下午 04:20
    2009年11月10日 上午 03:24
  • 非常感謝您的回答
    我來試試
    謝謝

    2009年11月10日 上午 03:28