如何妥善規畫AD管理者的權限？

如何妥善規畫AD管理者的權限？
到iT邦幫忙

ask9975（iT邦初學者10級）發問：
目前資訊部門希望導入AD環境，但其他部門的使用者非常反彈，除了電腦權限會限縮外，也擔心管理員權限過大，可以看到其他部門的資料。目前公司長官希望朝限制AD管理員權限的方向進行，例如給予管理網域帳號的權限，但不能登入他人電腦。請問我們的情況可以有比較好的規畫方式嗎？

josejose（iT邦初學者10級）：
目前你們尚未導入AD環境，因此可在加入網域時，修改使用者電腦資料所在的磁碟安全性，將Users及Everyone拿掉（加入網域後，Domain Users網域群組會自動加入本機的Users），拿掉後就只有本機的管理者可以存取。
sungnoone（iT邦初學者9級）：
你說的方式可以用Script做到，但是我的經驗，這樣下去會累死你。AD建置是百年大計，高層支持與信任十分重要，不亞於ERP。消除長官與使用者的疑慮十分重要的。除非是由上到下，有長官魄力的支持，不然建議從小到大，逐步取得信任與支持。

加入網域，也要教育使用者去除「用本機管理員很自由」的觀念，包括資訊人員自己，不然乾脆不要加入AD。

至於文件的機密性，對於機密單位或重要長官，可視為原則例外調整，但如果大多數的使用者都要不納入管理，那就沒有任何原則可言。不如暫緩，等取得共識後再進行。

網域管理員是個很重要的角色，之所以權限夠大，是為了日後能進行網域的管理，如果每臺電腦都限制網管人員控制，那何必做AD？ 相對而言，要慎選網域管理員，不僅學識要能堪任，道德上也必須是值得信任。

tombo（iT邦初學者4級）：
在建置AD後，網域帳號只給一般使用者權限。將網域帳號加入本機管理者群組，才會有本機管理者權限，記得不要將Domain Users加入管理者群組。當其他人用他自己的網域帳號登入，只會是一般使用者權限。也就看不到其他人的檔案。另外，也可以限定帳號可以登入哪些電腦。

說實在的，我覺得你應該跟老闆溝通一下，資安管理不能全聽使用者的意見，如果每個人都是本機管理者，要如何確保使用者不會外流資料、不會中毒？更何況，如果老闆可以信任使用者不外流資料，為何不能信任MIS管理？