none
請問win2003網域的螢幕保護鎖定原則,是否有辦法可以強制套在local administrator上? RRS feed

  • 問題

  • 您好!因安全性考量,螢幕保護鎖定原則(如:5min上鎖且無法變更)想要強制套到member server,但這只對Domain account登入才有作用,

    如果該member server使用local administrator登入,還是可以變更是否5min上鎖,

    是否有辦法可以讓local administrator 登入也無法變更螢幕保護鎖定原則?

    2012年10月5日 下午 04:42

解答

  • 理論上local admin的權限是主機上最大...如果它不能改設定..好像有甚麼邏輯上的問題吧? (而且它能夠把主機退出Domain哦)

    但你能夠把local admin 的帳號Disable, 那麼所有人也要用Domain Account登入了


    邊幫助, 邊鍛鍊

    • 已提議為解答 AChange 2012年10月11日 上午 09:03
    • 已標示為解答 AChange 2012年10月12日 上午 01:47
    2012年10月8日 上午 01:28
  • 如 Justin 所述,本機 administrator 權限很大,
    假使連他都可以鎖住,這邏輯上就說不通了。
    這應該不是微軟限制,而是產品設計上的邏輯。

    至於密碼原則的部份,
    必須使用 Server 2008 以上的作業系統做 GPO 設定,
    才能滿足你的需求。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    • 已編輯 AskaSuModerator 2012年10月11日 上午 03:13
    • 已提議為解答 AChange 2012年10月11日 上午 09:03
    • 已標示為解答 AChange 2012年10月12日 上午 01:47
    2012年10月11日 上午 03:12
    版主

所有回覆

  • 您好!
    請問win2003 Domain裡的member server之帳號鎖定原則,是否有辦法可以依不同帳號區分不同鎖定原則(在同一台主機上)?
    還是win2003網域裡,同一台主機只能有一個帳號鎖定原則?
    • 已合併 AChange 2012年10月8日 上午 02:57 相關問題
    2012年10月5日 下午 04:19
  • 理論上local admin的權限是主機上最大...如果它不能改設定..好像有甚麼邏輯上的問題吧? (而且它能夠把主機退出Domain哦)

    但你能夠把local admin 的帳號Disable, 那麼所有人也要用Domain Account登入了


    邊幫助, 邊鍛鍊

    • 已提議為解答 AChange 2012年10月11日 上午 09:03
    • 已標示為解答 AChange 2012年10月12日 上午 01:47
    2012年10月8日 上午 01:28
  • 感謝Justin您熱心的回覆! 但不能把local admin 的帳號Disable。

    我的想法是例如像本機稽核原則,在server沒加入網域之前是套用自己本機原則設定,ㄧ旦加入網域就會套用網域所灑下的網域稽核原則,因為此原則是在"電腦設定"裡,所以不管此台server是用何種帳號登入(包含local admin登入本機),也不能變更稽核原則(因為設定會被反灰)

     =>其實這就是我想要"螢幕保護鎖定"達到的效果,但無奈"螢幕保護鎖定"原則是套在"使用者設定"上面,  而GPO裡的"使用者設定"應該是只有指Domain User而已,所以用local admin登入本機,"螢幕保護鎖定"原則就套不到了!  這個問題,看起來是微軟的限制吧!只是不知有無其他特殊解法,可以達到我的需求!

    而另ㄧ個相反的需求,因為某些AP運作原故不希望特定local account上鎖,但希望其他以外的account依照鎖定原則上鎖,但帳號鎖定原則也是套"電腦設定",ㄧ套上原則後,結果server上所有的account 全部統一上鎖無法特例! 這個需求,不知是否有解?

    http://blog.pmail.idv.tw/?p=2737  有看到這篇文章,在win2008上有可能達到部分效果,但win2003應該沒有此功能!


    2012年10月9日 下午 04:46
  • 如 Justin 所述,本機 administrator 權限很大,
    假使連他都可以鎖住,這邏輯上就說不通了。
    這應該不是微軟限制,而是產品設計上的邏輯。

    至於密碼原則的部份,
    必須使用 Server 2008 以上的作業系統做 GPO 設定,
    才能滿足你的需求。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    • 已編輯 AskaSuModerator 2012年10月11日 上午 03:13
    • 已提議為解答 AChange 2012年10月11日 上午 09:03
    • 已標示為解答 AChange 2012年10月12日 上午 01:47
    2012年10月11日 上午 03:12
    版主