none
加入網域後如何防止登入本機權限的疑問請教 RRS feed

  • 問題

  •  各位前輩好,

    小弟有個疑問想請教,

    如果給予domain user在本機是power user的權限.

    要如何防止使用者登入本機呢?

    請問各位是怎麼做的呢?

    謝謝各位...



    • 已編輯 Ben_XP 2015年3月13日 上午 05:38
    2015年3月13日 上午 12:17

解答

  • 暫時沒有方法能滿足你的要求, 因為大部份要安裝的軟體都需要更改或把檔案放入系統資料夾.

    也有好些軟體不需要這樣做, 例如Google Chrome.

    而網域環境概念裡, 設計上有必要讓Domain Admin掌控環境內的電腦究竟能安裝甚麼軟體.

    所以要不你以群組原則為使用者安裝, 要不把權力下放給他們, 讓他們做Local Administrator.

    其實Local Administrator就已經能把電腦退出網域, 為所欲為了, 所以也沒有甚麼分別.

    沒有折衷的方案可以使用. 方便, 或是安全, 是風險館理要作出的選擇.


    邊幫助, 邊鍛鍊

    • 已標示為解答 George.Chang 2015年3月23日 上午 05:18
    2015年3月16日 上午 08:11

所有回覆

  • 只要任何PC加入去Domain,那Domain Admin是肯定可以登入,沒法防止別人登入

    大家一齊探討、學習和研究,謝謝!
    MCSD, MCAD, MCSE+I, MCDBA, MCDST, MCSA, MCTS, MCITP, MCPD,
    MCT, Microsoft Community Star(TW & HK),
    Microsoft MVP for VB.NET since 2003
    My MSMVP Blog

    請記得將對您有幫助的回覆標示為解答以幫助其他尋找解答及參與社群討論的朋友們。
    Please remember to clickMark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.


    2015年3月13日 上午 03:55
  • 您好,謝謝您的回覆..

    我的意思不是domain admin能否登入..

    假設電腦名稱是abc,

    domain是hello.com

    一般加入網域登入的都是hello.com\使用者帳號

    我要避免擁有本機群組(power user權限)的帳號使用abc\使用者帳號 的方式來登入,可以達成嗎?

    謝謝您

    2015年3月13日 上午 05:42
  • Hi Ben_XP

    那就將這個本機帳號停用,Power user無法去管理其他帳戶,所以也就無法將帳戶啟用,停用也就無法登入。


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2015年3月13日 上午 09:20
  • 謝謝George前輩的回覆

    我後來有再去測試,發現要進行本機使用者和群組時,會跳出提升權限的帳密對話框,輸入後才能管理.

    那我想請教Power User是否就無法安裝軟體?

    因為我試著要安裝軟體時,也會跳出提升權限的帳密對話框..

    我主要是讓使用者可以安裝移除軟體,但不能利用本機登入..

    謝謝,希望能再抽空回覆


    • 已編輯 Ben_XP 2015年3月14日 下午 11:06
    2015年3月13日 上午 09:26
  • Hi Ben_XP

    Power Users無法修改系統檔案和安裝系統服務,所以只能安裝的軟體需要提高權限去異動系統檔案,就會跳出需要提升權限的視窗。

    為什麼您不考慮直接刪除本機的使用者帳號,並將本機的Administrator停用,這個方法?

    Power Users can:

    Run legacy applications, in addition to Windows 2000 or Windows XP Professional certified applications.

    Install programs that do not modify operating system files or install system services.

    Customize systemwide resources including printers, date, time, power options, and other Control Panel resources.

    Create and manage local user accounts and groups.

    Stop and start system services which are not started by default.

    Power Users do not have permission to add themselves to the Administrators group. Power Users do not have access to the data of other users on an NTFS volume, unless those users grant them permission.


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2015年3月16日 上午 05:54
  • 您好,

    因為現階段是給予網域使用者有本機管理者的權限,但希望可以只給予安裝/移除的權限.

    但有這樣的權限,本機就算沒有帳號可以登入,使用者也可以自行新增一個本機帳號登入.

    所以想請問,下列需求,是否有對應的技術方式.

    1.使用者可以自行安裝/移除/執行軟體,無法從本機登入/自行退出網域. 

    (想請教的部份)

    2.使用者可以正常執行任何軟體,無法安裝移除軟體,無法從本機登入/自行退出網域.

    (好像用Power User+所有軟體都給予管理者權限就可以正常執行所有安裝在上面的軟體.)

    謝謝George前輩

    2015年3月16日 上午 07:39
  • 暫時沒有方法能滿足你的要求, 因為大部份要安裝的軟體都需要更改或把檔案放入系統資料夾.

    也有好些軟體不需要這樣做, 例如Google Chrome.

    而網域環境概念裡, 設計上有必要讓Domain Admin掌控環境內的電腦究竟能安裝甚麼軟體.

    所以要不你以群組原則為使用者安裝, 要不把權力下放給他們, 讓他們做Local Administrator.

    其實Local Administrator就已經能把電腦退出網域, 為所欲為了, 所以也沒有甚麼分別.

    沒有折衷的方案可以使用. 方便, 或是安全, 是風險館理要作出的選擇.


    邊幫助, 邊鍛鍊

    • 已標示為解答 George.Chang 2015年3月23日 上午 05:18
    2015年3月16日 上午 08:11