如何妥善規畫AD管理者的權限?
到iT邦幫忙

ask9975(iT邦初學者10級)發問:
目前資訊部門希望導入AD環境,但其他部門的使用者非常反彈,除了電腦權限會限縮外,也擔心管理員權限過大,可以看到其他部門的資料。目前公司長官希望朝限制AD管理員權限的方向進行,例如給予管理網域帳號的權限,但不能登入他人電腦。請問我們的情況可以有比較好的規畫方式嗎?

josejose(iT邦初學者10級):
目前你們尚未導入AD環境,因此可在加入網域時,修改使用者電腦資料所在的磁碟安全性,將Users及Everyone拿掉(加入網域後,Domain Users網域群組會自動加入本機的Users),拿掉後就只有本機的管理者可以存取。
sungnoone(iT邦初學者9級):
你說的方式可以用Script做到,但是我的經驗,這樣下去會累死你。AD建置是百年大計,高層支持與信任十分重要,不亞於ERP。消除長官與使用者的疑慮十分重要的。除非是由上到下,有長官魄力的支持,不然建議從小到大,逐步取得信任與支持。

加入網域,也要教育使用者去除「用本機管理員很自由」的觀念,包括資訊人員自己,不然乾脆不要加入AD。

至於文件的機密性,對於機密單位或重要長官,可視為原則例外調整,但如果大多數的使用者都要不納入管理,那就沒有任何原則可言。不如暫緩,等取得共識後再進行。

網域管理員是個很重要的角色,之所以權限夠大,是為了日後能進行網域的管理,如果每臺電腦都限制網管人員控制,那何必做AD? 相對而言,要慎選網域管理員,不僅學識要能堪任,道德上也必須是值得信任。

tombo(iT邦初學者4級):
在建置AD後,網域帳號只給一般使用者權限。將網域帳號加入本機管理者群組,才會有本機管理者權限,記得不要將Domain Users加入管理者群組。當其他人用他自己的網域帳號登入,只會是一般使用者權限。也就看不到其他人的檔案。另外,也可以限定帳號可以登入哪些電腦。

說實在的,我覺得你應該跟老闆溝通一下,資安管理不能全聽使用者的意見,如果每個人都是本機管理者,要如何確保使用者不會外流資料、不會中毒?更何況,如果老闆可以信任使用者不外流資料,為何不能信任MIS管理?

馬上按讚加入iThome FB粉絲團

Advertisement

更多 iThome相關內容