none
如何設計可"安裝系統軟體"與"更改IP" & "裝置新硬體" 權限的帳號/群組/GPO ? RRS feed

  • 問題

  • 請問各位專家與好友:

     

    如何設計Win2003 AD環境中可以 "安裝系統軟體", "更改IP" 以及 "裝置新的介面卡" 權限的帳號/群組?

    *** 前提是不要套用任何Admin(Administrators)等級的群組 ***

     

    可以接受Power Users, 但發現Power Users group的帳號並無法更改ip, 安裝系統軟體, 裝置新硬體.(只能裝一般軟體)

    條件若如上, 請問要怎麼調整Windows 2000 Server AD呢?

     

    條件如上, 請問可以依Computers來作此設計嗎? (設計一個OU放入Computers再OU上套用GPO)

    (例如:NoteBook擁有以上權限--更改ip & 安裝系統軟體 & 裝置新硬體;
     Desktop PC則禁止--更改ip與安裝系統軟體 & 裝置新硬體.)

    接著再請問: 可否混合兩種條件: 某一個帳號+某一台COMPUTER時才開放"更改ip & 安裝系統軟體 & 裝置新硬體";
    只要有一條件不符合則不開放。

    感謝各位高手與前輩的幫忙...

    2007年11月26日 上午 07:43

解答

    • 就了解, 只有 local admin 的成員可以做到您的要求. 因為您的需求皆須要使用到 local admin 的權限來執行
    • 縱然是使用 GPO 也是需要 local admin 的權限來執行.

     

     

    2007年11月26日 上午 10:12

所有回覆

    • 就了解, 只有 local admin 的成員可以做到您的要求. 因為您的需求皆須要使用到 local admin 的權限來執行
    • 縱然是使用 GPO 也是需要 local admin 的權限來執行.

     

     

    2007年11月26日 上午 10:12
  • 如果是這樣,只能給Users  Local Admin的帳號了嗎?

     

    怕Users會亂改其它帳號與密碼......,造成更大的不確定性。

     

    PS: 有些主管還是必須給他們加軟體的權限,或是有加硬體的權限,其餘大部份的人都鎖住了。

    看起來為了這些少數人要想其他方法了。上述權限該如何指定?(加軟體,加硬體)

    謝謝...

    2007年11月26日 下午 02:53