none
權限授權問題 RRS feed

  • 問題

  • 各位好

               因為經手一個之前的人留下來的 AD 網域。

     

               發現他全部都是用  administrator 來維護。

               因為公司希望 administrator 由總經理知道就好了

     

               我開一個 misadmin 帳號來做為平時管理用。 把 misadmin 加到 AD 網域的

               administrators 群組。這樣就ok.

     

               有一天稽核時發現到  misadmin 可以去改 administrator 密碼 ,

               要求我修改權限,不可有去修改 administrator 帳號密碼權力,

               請問我要怎麼做比較好,謝謝

    2007年5月29日 上午 12:58

解答

  • 你好:

    試試下面的方式,開啟ad使用者及電腦->找到administrator帳號->右鍵->內容->安全性->

    新增 將你新增的misadmin加入->在點選 misadmin ->針對 權限頁面中 的 變更密碼 & 重設密碼 給予 拒絕 。

    2007年5月29日 上午 09:22
  • 同屬於Administrators群組就都是無敵,完全不會因為不是用Administrator帳號就比較安全。不管你做了什麼限制,我直接把你做的所有限制都解掉就好了。
    2007年6月1日 下午 07:03

所有回覆

  • 你好:

    試試下面的方式,開啟ad使用者及電腦->找到administrator帳號->右鍵->內容->安全性->

    新增 將你新增的misadmin加入->在點選 misadmin ->針對 權限頁面中 的 變更密碼 & 重設密碼 給予 拒絕 。

    2007年5月29日 上午 09:22
  • 請問平常windows server都用  administrator 來登入維護

    如果新增帳號來做為平時管理用,且現在每台server 都是用新增的帳號

    來登入 server,

    請問會有如服務未能正常啟動的問題嗎???或其他問題,謝謝!

    2007年5月29日 下午 02:27
  • 這就要去看看 你有沒有安裝什麼軟體時,選擇以administrator去啟動,

    你可以開啟服務的mmc,去看看有沒有這些server有沒有啟動帳號是用

    administrator 。

    2007年5月29日 下午 02:58
  • 某一台file server

    有二個服務是用domain\administrator登入身份的,

    其他的都是LocalSystem

    請問要如何將原為domain\administrator啟動,改為新增的帳號來啟動??

    另,若改用新增帳號登入server,此舉是不是壞多於好呢??

    或許不去改變比較好,怕改變後發生一大堆問題呢

    2007年5月29日 下午 03:17
  • 您好

               可以了。謝謝您的方法。

     

    另外回覆上面其它的人的問題。我建議 administrator 只用來建立 ad 後,就開一個 sysadmin (舉例) 帳號,放入 administrators 群組。再用 sysadmin 帳號去做 安裝不同程式和 服務設定。 sysadmin 等於 administrator 一樣,但我會對 sysadmin 定時去改密碼。

    如果擔心改了密碼會告成服務啟不動。可以進 管理->服務,把一些掛上 sysadmin 的服務,重新置成新的密碼。因這動作經常做我會做一份列表。逐一去改

     

     

    當然,嫌改密碼麻煩。你可以再取一個 xxxadmin 帳號,用最複雜密碼設置,此帳號放入 administrators 群組。做為全部安裝服務的帳號專用。我是有這樣做的。這樣的話不管密碼怎麼改,我 CA Arcserver 備份服務,不會受到影響

    2007年5月30日 下午 12:16
  • 有些AP服務更改account就不work了,即使是有相同權限也一樣,看AP怎麼設計
    2007年5月31日 上午 02:51
  • 同屬於Administrators群組就都是無敵,完全不會因為不是用Administrator帳號就比較安全。不管你做了什麼限制,我直接把你做的所有限制都解掉就好了。
    2007年6月1日 下午 07:03
  • 樓上大大們的回答好像都有問題 @@

     

    有人能正確的回答關於授權時的問題嗎?

    2007年7月2日 上午 03:37
  • Lusheng 所答的第一篇回覆就已經針對這篇主題作了完整的回應了

     

    其他的朋友只是另外再提供其它的意見而已

     

     

    我個人的意見是,如同 Eric 所說的,只要你是 Administrators 的成員,那不管限制你什麼,再改回來就好了

    這是公司內部人員的權責區分跟政策問題,若是不信任,就該把最大的管理權限與任務交給信任的人處理

    當然,那個人就要作管理員該作的事情了........

     

    另外,關於預設的Administrator 這個帳號,個人是建議將它更名,因為此帳號不會因為登入錯誤而鎖定

    所以若有人想要試密碼,那大可使用暴力破解法,這也是一個安全問題

    2007年7月2日 上午 05:19