none
XP 加入 2003 網域的問題 RRS feed

  • 問題

  • 請問一下:

    目前公司新架2003 AD環境(原無網域),

    所有Client PC都要加入網域,

    DC在DMZ區,有防火牆與User隔離,

    目前為加入網域方便,防火牆PORT已開啟,

     

    Q1:

    部分XP (sp2)加入網域時,於輸入Domain Admin帳號密碼後,

    出現"找不到網路路徑"錯誤訊息,

    但已經手動指定DNS及WINS設定,XP防火牆也關閉,

    且Cilent PC ping 的到2003 DC,

    請問該如何處理??

     

    Q2:

    Client PC (XP sp2)加入網域後,

    User於Domain帳號均於本機設定為administrator,

    但仍有部分User無法安裝新程式,

    除將使用者加入Domain Admin群組外,

    有何方法可以解決??

     

     

     

    2007年5月2日 上午 08:00

解答

  • Hi,

     

    1. 如果需要的話, 就需將相關的port打開, 你可以參考底下文章.

        http://support.microsoft.com/kb/179442/

     

    2. 直接加入Administrator群組中, 就等於與管理員相同角色, 則user可以不受限的執行任何動作.

        而使用GPO中的受限的群組, 他指會套用在本機端, 也就是會將domain user加入到本機的administrator, 所以該user只會對該PC有所有控制權, 但卻不是網域管理員的角色, 你只要測試一下就會知道結果了.

     

     

     

    2007年5月2日 下午 11:58
  • 這樣的架構只是讓 IT人員浪費時間與考驗技術與耐心而已

    1.Domain Control 理論上是不需要、也不能放在DMZ區的

    2.Intranet 與 DMZ 之間 Firewall PORT幾乎是全開,這樣的""FIREWLL""只是浪費金錢與電力而已

    3.XP加入Domain後又給予User Local Admin權限,那等於沒管理與無法約束

     

    所以衷心的建議,在去跟你的長官好好的溝通與討論,讓他了解 IT管理與資源浪費的相對應道理

    如果上層長官執意要建置這樣的架構,以後累死可能是你喔~~~~

     

    相對的,如果你是有料的,長官可能只是利用此次機會來考驗底下的成員 Domain Know-How 我想你還是不要放棄這一個機會,好好的去溝通一下! 搞的好的話,年終獎金應會不有加分的效果~

    PS..至少我就是這樣考驗我的手下!

    2007年5月3日 上午 01:00

所有回覆

  • Hi.

     

    1. 我建議DC不要放在DMZ區, 將DC放在內部, 然後在FIREWALL上開始適當的PORT就可以了, 這樣就不會有上述的問題了.

    2.  使用 [群組原則] 的 [限制性群組]

          將 Administrators 加入 網域內的 User, 這樣樣就可以了

         當電腦的群組原則套用生效之後

         這些成員就自動成為該電腦 Local Administrators 的成員了.

     

    2007年5月2日 上午 08:15
  • 不好意思,再次請教

    1.因本身非規劃及決策人員,無法決定變動DC位置

       若DC仍放在DMZ區中,此問題會是無解嗎??

       但是大多數Client PC加入是沒問題的....

       或仍有其他解決方式呢??

     

    2.修改GPO的[受限群組]設定和直接於ADUC中將Domain User群組加入Administrators群組,

       不同點為何呢??

       另有疑問,Administrators群組權限為[可以完全不受限制的存取電腦/網域]

       除給予User 相當於Local Admin權限外,

       會否也給予超出User該有的Domaim Admins權限呢??

     

    謝謝!!

      

      

    2007年5月2日 上午 10:29
  • Hi,

     

    1. 如果需要的話, 就需將相關的port打開, 你可以參考底下文章.

        http://support.microsoft.com/kb/179442/

     

    2. 直接加入Administrator群組中, 就等於與管理員相同角色, 則user可以不受限的執行任何動作.

        而使用GPO中的受限的群組, 他指會套用在本機端, 也就是會將domain user加入到本機的administrator, 所以該user只會對該PC有所有控制權, 但卻不是網域管理員的角色, 你只要測試一下就會知道結果了.

     

     

     

    2007年5月2日 下午 11:58
  • 這樣的架構只是讓 IT人員浪費時間與考驗技術與耐心而已

    1.Domain Control 理論上是不需要、也不能放在DMZ區的

    2.Intranet 與 DMZ 之間 Firewall PORT幾乎是全開,這樣的""FIREWLL""只是浪費金錢與電力而已

    3.XP加入Domain後又給予User Local Admin權限,那等於沒管理與無法約束

     

    所以衷心的建議,在去跟你的長官好好的溝通與討論,讓他了解 IT管理與資源浪費的相對應道理

    如果上層長官執意要建置這樣的架構,以後累死可能是你喔~~~~

     

    相對的,如果你是有料的,長官可能只是利用此次機會來考驗底下的成員 Domain Know-How 我想你還是不要放棄這一個機會,好好的去溝通一下! 搞的好的話,年終獎金應會不有加分的效果~

    PS..至少我就是這樣考驗我的手下!

    2007年5月3日 上午 01:00
  •  Harlem_Hsu 寫信:

    這樣的架構只是讓 IT人員浪費時間與考驗技術與耐心而已

    1.Domain Control 理論上是不需要、也不能放在DMZ區的

    2.Intranet 與 DMZ 之間 Firewall PORT幾乎是全開,這樣的""FIREWLL""只是浪費金錢與電力而已

    3.XP加入Domain後又給予User Local Admin權限,那等於沒管理與無法約束

     

    所以衷心的建議,在去跟你的長官好好的溝通與討論,讓他了解 IT管理與資源浪費的相對應道理

    如果上層長官執意要建置這樣的架構,以後累死可能是你喔~~~~

     

    相對的,如果你是有料的,長官可能只是利用此次機會來考驗底下的成員 Domain Know-How 我想你還是不要放棄這一個機會,好好的去溝通一下! 搞的好的話,年終獎金應會不有加分的效果~

    PS..至少我就是這樣考驗我的手下!

    哈哈哈

    說的好

    我贊同, 基本上規劃那樣的人應該要減薪.

    2007年5月3日 上午 01:42