1.BIOS 沒有被鎖，堶崛SB的設定也是打開的
2.我只是好奇為什麼我以本機ADMIN登入還是無法修改USBSTOR的機碼呢?
3.就算不登入網域，還是無法修改
4.你說的完全退出網域，我可能不太敢做
5.公司的政策太機車了，鎖這個，又要我們用數位相機

1.2.
猜測是因為AD那邊，有設定[忽略本機的硬體設定]之類的
AD的成員分有兩種
一種是使用者，一種是電腦 (鎖 IP 或 MAC 或 windows識別碼)
這兩種都會受到AD裡的群組原則限制

3.這和使用者登入或不登入網域沒有太大關係
windows 電腦，在區域網路上的身分，有分 [工作群組] 和 [網域] 兩種
只要client端NT電腦加入[網域]，就已經被網域控制了
只有退出網域，才能不受控制

5.
其實禁USB，最主要也是怕員工用快閃碟偷公司資料
所以就算申請自己電腦要可以使用USB，八成也是不會過
因為可以用USB，等於可以用快閃碟，等於可以偷資料....

但是這種情況下
公司應該要提供幾台，沒有和內部機密資料連接的電腦
可以使用USB才對


BIOS 沒有鎖，安全性等於開了大漏洞
比方說，由光碟開機，由軟碟開機，由 USB Flash 開機.....等等
只要不從硬碟的NT開機，自然不會受到網域管制

光碟開機，可以使用 Linux live CD
一片光碟就可開進有x-window的作業系統
然後，要用USB，也就不是難事了

磁片開機，可以開進DOS，加掛USB驅動
去讀取USB快閃碟的資料
但硬碟要有FAT/FAT32磁區，才能存入

有些主機板的BIOS，USB Flash 也能開機
一般是用DOS

在一位電腦管理人員裡,這種不循正當管道申請使用權限
挑戰公司安全政策的職員是一個隨時引爆的熱點
你說公司要你們使用數位像機卻不開放USB裝置使用權
是說不過去的,你或許只是想下載上傳一些資料
但是卻和公司安全政策牴觸,上班就乖乖上班

5.公司的政策太機車了，鎖這個，又要我們用數位相機

XP的系統可以讓你使用USB裝置、讀取USB隨身碟，但是沒辦法寫入，我想這就可以達到你們公司的要求。至於2000能不能做到，這就要試了。

1.2.
猜測是因為AD那邊，有設定[忽略本機的硬體設定]之類的
AD的成員分有兩種
一種是使用者，一種是電腦 (鎖 IP 或 MAC 或 windows識別碼)
這兩種都會受到AD裡的群組原則限制

3.這和使用者登入或不登入網域沒有太大關係
windows 電腦，在區域網路上的身分，有分 [工作群組] 和 [網域] 兩種
只要client端NT電腦加入[網域]，就已經被網域控制了
只有退出網域，才能不受控制

5.
其實禁USB，最主要也是怕員工用快閃碟偷公司資料
所以就算申請自己電腦要可以使用USB，八成也是不會過
因為可以用USB，等於可以用快閃碟，等於可以偷資料....

但是這種情況下
公司應該要提供幾台，沒有和內部機密資料連接的電腦
可以使用USB才對


BIOS 沒有鎖，安全性等於開了大漏洞
比方說，由光碟開機，由軟碟開機，由 USB Flash 開機.....等等
只要不從硬碟的NT開機，自然不會受到網域管制

光碟開機，可以使用 Linux live CD
一片光碟就可開進有x-window的作業系統
然後，要用USB，也就不是難事了

磁片開機，可以開進DOS，加掛USB驅動
去讀取USB快閃碟的資料
但硬碟要有FAT/FAT32磁區，才能存入

有些主機板的BIOS，USB Flash 也能開機
一般是用DOS

如果真得要偷的話，自己裝個軟碟或光碟就可以囉，
但我只是純粹就技術面想了解，到底網管是如何辦到，
人不到現場就有辦法鎖全公司的USB，現在終於了解，
原來只要加入網域，就被控制住了，就算登出網域也是一樣，
除非完全退出，可是卻沒有這個選項是嗎?
一定要自己去砍REGISTRY，
要是網管也把要砍的機碼也鎖住呢?
是不是就無解了呢?

如果真得要偷的話，自己裝個軟碟或光碟就可以囉，
但我只是純粹就技術面想了解，到底網管是如何辦到，
人不到現場就有辦法鎖全公司的USB，現在終於了解，
原來只要加入網域，就被控制住了，就算登出網域也是一樣，
除非完全退出，可是卻沒有這個選項是嗎?
一定要自己去砍REGISTRY，
要是網管也把要砍的機碼也鎖住呢?
是不是就無解了呢?

在 [控制台] - [系統] - [電腦名稱] - [網路識別]那邊可以選擇加入網域

退出網域的選項，好像只有以「網域管理員身分」登入，才看的到
在退出的過程中，windows會要求再次輸入網域管理員密碼
包含登入的那一次，總共要輸入兩次
不過好像也可從AD直接把電腦成員踢出網域，我不太確定

網域管理員
通常是 AD server (win2000 /2003 server版)的 administrators
或是經由授權加入網域管理員群組的成員

網域管理員，登入工作站的時候，有些地方也不太一樣
例如可能會多了一個：Active Directory管理工具的目錄 (可開放或不開放)
從工作站電腦上，就可以遠端直接操作AD上的一些群組原則設定
不用跑到機房去操作server
但實際上遠端操作非常危險，一般都不會開放
因為如果網域管理員的密碼不小心洩漏了，他的麻煩就大了

AD無法鎖住本機的Admin去砍硬碟裡的資料 (破壞win系統的完整性)
因為本機Admin可以重新取得檔案權限，他就能把檔案砍了
所以一般來說，AD網域的環境，絕不會開放可以從本機登入
那等於是開了一道安全性漏洞的後門
軟體安裝的問題，應由軟體派送解決，而非開放給使用者高等權限

更改硬體設備的話
有些較高級的電腦，例如：IBM電腦，機殼可以上鎖
或是辦公室都有裝數位錄影的攝影機，不是防小偷的，是防員工的 :|||:


MCSE 的 AD，其實是蠻好用的
它是屬於中央控管式的系統，可以節省很多管理時間
直接修改AD的群組原則，就能套用到所有加入網域的工作站
軟體派送，可以很容易的就把所有工作站台所需的軟體都灌好

不過AD的成本$$太高了，授權費不只server版，還有client端連接數
且windows的壽命，頂多5-10年，就要被強迫升級
像NT4的PDC，微軟已經停止支援了，再過幾年，就是W2K了
升級升級，花錢花錢，永無止境....... :|||:

小小心得：
如有意更換到 Linux server 環境
千萬記得在把 AD server 砍掉前，要先把所有工作站台退出網域
我上次就是忘記退出
天啊，一台台去拆硬碟，砍掉密碼檔... :eye: :eye: :eye:
還好電腦不多，加班三小時做完，不然隔天上班員工沒電腦用就完蛋囉

但我只是純粹就技術面想了解，到底網管是如何辦到，
人不到現場就有辦法鎖全公司的USB，現在終於了解，
原來只要加入網域，就被控制住了，就算登出網域也是一樣，
除非完全退出，可是卻沒有這個選項是嗎?



群組原則是個
好用的網管工具...