none
請問一個AD的觀念 RRS feed

  • 問題

  • 各位前輩好

     

    在下是一個AD的管理初學者,日前在替公司導入AD的時候,遇到了觀念上的問題,想在這邊和各位前輩討論一下。

     

     

    以往,大家都有一個觀念:『未加入網域的電腦,無法存取網域內的資源』

    因此,很多人都認為,電腦要加入網域,才能去讀去存網域上SERVER的資料夾。

    然而,實際上的狀況是,就算你沒有加入網域,你的手上只要握有網域內任一成員的帳號密碼,只要該資料夾權限許可,你就可以存取該資料夾,不管你有沒有加入網域.....

     

    當然,針對這點可以對資料夾改用電腦帳戶去做控管,但是這就和很多人的觀念衝突了....

     

    客戶或主管:『奇怪?不是說要加入網域才能得取SERVER的資料夾?那這樣如果我的員工自己帶筆電,帳號密碼他也有啊!這樣不就有很大的漏洞了嗎?那這樣我何必非一定要架AD呢?原來的網芳不就可以了嗎?』

     

     

    .........

    請問各位前輩,小弟的觀念有誤嗎?還是....??

    2008年10月27日 上午 09:40

所有回覆

  • 我喜歡把AD網域比喻成一座城堡

    電腦帳戶就好像是城堡裡的馬車

    使用者就等於是被城堡認可的百姓

    今天使用者從城堡外面帶一台馬車來

    在進城堡的時候,守衛認得你這個使用者

    當然會放你進城堡用裡面的資源

     

    如果你公司規模不大,用工作群組的方式分享資源當然也可以

    但是我相信安全性及管理上絕對沒有採用AD來得好

    如果未來公司有擴大的可能

    架設AD絕對是正確的選擇

     

    如果還想再強化安全性

    建議可以採用NAC的方式

    不讓未經許可的馬車在城堡內任意奔馳

    2008年10月27日 上午 10:24
    版主
  • 如樓上高手所言,架AD是為了方便管理是一個很大的原因,

    • 以server端來說:要是有多台server的話,只要架AD,其他Server加入AD,很容易就可以設定user在server上可存取資源的權限,若無AD,每台server都要建一樣的帳號密碼,mis做幾天一定會覺得無趣很累,每天就要求你要改AD。
    • 以PC端來說:若client端加入AD,我列舉幾個好處
      1.可由server端控管他密碼是不是可以強制更換,或是密碼強度等,
      2.可由AD以設定user群組的方式,來讓client端設定某些群組的人本機權限是隸屬於administrators或是power user群組。
      3.可以執行AD檔案派送的功能。
      4.可以透過群組原則,設定client端的使用環境。

      ......還有很多 書上也應該都有寫,其實server沒架AD 大家也是可以透過以前工作群組的方式運作,但是每次組織有成員異動,server上也要每台去異動帳號client端也要每台去做環境設定,MIS每天就都跑這個就好了,其他正事就不用做了
      MIS的工作就是為了讓這家公司的IT管理更好,更有效率而存在的,我喜歡MIS經過良好的IT規劃後,讓維護量減低,以應付一些其他無論是user或是主機上雜七雜八的問題。

     

    Luke Lee 說的使用者資源分享控管問題,可以由AD管理程式設定該使用者只能從哪台client端電腦名稱登入,這樣就算別人有我的帳號密碼,只要不是在該台電腦登入,是無法登入的,也是一個方法供您參考囉。

    2008年10月28日 下午 10:49
  • 其實這個漏洞就看你們公司要不要補起來, 非公司之電腦設備接到公司的網路使用資源, 這對公司內部的資訊安全性

    就會有重大的影響, 如何去控管這一塊資安的死角, 就是公司導入AD之後的課題。

     

    也就是說是不是該讓沒有經過授權過的電腦設備在公司內部被隔離開之類的...

     

    2008年11月2日 上午 01:32
  • 因此得到一個觀念。

     

    AD建置起來後,若不做任何的GPO或是相關的安全性設定,基本上來說僅是帳號密碼的集中控管。

     

    要對帳戶做更進階的控管或是整體網域內的安全性提昇,需透過更細項的設定,這樣的觀念正確嗎?

     

    2008年11月6日 上午 07:01
  • 建AD起來不僅僅只有帳號密碼的集中控管而已。

    我會建議你用Virtual PC 或其他虛擬軟體,

    仔細研究或測試AD幾個觀念及功能:

    1. GPO。

    2. 分享共用及NTFS安全性的不同。

    這些在企業環境非常容易碰到。

     

    另外,再推薦你到書局找文魁資訊出的一本書:

    Windows Server 2008 LAN 與 AD 管理實戰

    這本雖然主要內容以Server 2008為範例,

    但其實在AD的觀念上講解還蠻清楚的,

    而且AD的基本架構在Server 2003及Server 2008其實是相通的,

    不過我個人還是推薦使用Server 2008。

    2008年11月6日 上午 09:06
    版主