我想,大家都將MIS搞的像毒蛇猛獸一樣了吧,MIS是公司電腦政策的執行者,並不是公司電腦政策的決定者,況且如果公司放任職員可以任意修改電腦設定,那該如何去管理整個公司.
以樓主的例子為例,如果您的電腦在客戶公司中毒或是被植入後門,回到公司後又造成公司整個系統癱瘓,這對於公司何嘗也造成另外一種傷害.
　　之前就被這樣搞過, 真的是很麻煩 ......

像樓主那種跨國際的外商公司，AD網域主機八成是在國外總公司

NT系統的電腦，只要一加入網域，所有權限就被控管了
也許群組規則裡就有這麼一條：本機安全性設定無效
那分公司 MIS 再厲害也沒輒了
因為他不是總部主機的負責人，並無權限修改整個AD的群組原則

這種情況最簡單的，就是退出網域，便能自由操作那台電腦
把SAM檔砍掉就能退出了，不需要網域負責人的密碼
但也有壞處
退出網域後，亦代表無權進入公司的檔案分享系統
甚至也有可能因為電腦帳號不符，不能登入公司的網路系統
所有對內的封包，過路由器直接被丟棄
但相對的，這種網域外的電腦，亦無法對內部網路造成威脅

請思考這句話所帶來的較偏頗的個人方面想法。 :eek:


但相對的，這種網域外的電腦，亦無法對內部網路造成威脅

看來這邊應該不少MIS,有點一面倒,
安全性跟方便性一定是tradeoff,
最好是大家都不準用電腦最安全.
MIS責任不是消極防堵,
應該是在適當安全前題下,竭盡所能滿足各業務單位使用個人電腦, 不然老實說,
花錢養MIS幹啥,通通堵起來,躺著幹就好.

請思考這句話所帶來的較偏頗的個人方面想法。 :eek:
這種網域外的電腦(或稱為行動用戶端)才是企業內部網路最大的威脅

看來這邊應該不少MIS,有點一面倒,
安全性跟方便性一定是tradeoff,
最好是大家都不準用電腦最安全.
MIS責任不是消極防堵,
應該是在適當安全前題下,竭盡所能滿足各業務單位使用個人電腦, 不然老實說,
花錢養MIS幹啥,通通堵起來,躺著幹就好.

MIS多的是不知道自己的存在目的是什麼

M$ AD網域，作用之處大致可分為幾項：

1.統一驗證帳號：這是為了以下的權限作準備

2.DFs近端分散式檔案系統：
或者可看作是LAN區網內的檔案分享
首先必須通過AD的帳號驗證才能登入網域
登入網域後，才能享用分散式檔案系統服務，取用裡頭各資料夾的檔案

比方說
企劃部門有企劃部專屬的資料夾，其他部門無法進入
研發部門有研發部專屬的資料夾，其他部門無法進入

為什麼自己公司的人，還要分的這麼仔細呢？

這是為了避免公司的開發計畫，或公司機密外洩
一家公司可能有很多員工，有領導階級，研發階級，和工人階級
總不能說一位剛進入的新人，就讓他看到所有資料吧
那要是他不做跑了，能擔保他不會洩露公司機密嗎
又或者，有無可能是對手企業派來的商業間諜，不是嗎

3.軟體派送：
透過軟體派送，client端電腦
可自動安裝server所發布/指定給，群組成員或電腦的商業軟體

一來這是自動安裝，不用說公司有500台電腦
MIS就要跑500次去現場安裝，那恐怕一個禮拜也裝不完
另也不是裝完就沒事了，軟體有時會毀損，需要升級或移除
軟體派送能自動修復軟體，自動升級，自動移除

二來，可以避免網域成員任意安裝軟體
裝的是正版的還好，如果裝了盜版被檢舉查到
責任要算個人的，還是算公司的？
老闆說那是個人行為，員工說是為了工作才裝，那檢察官要聽誰的...

3.群組權限管理：
一般我們懂電腦的人，很難想像，怎麼會有人把電腦搞爛掉
員工則不一定懂電腦，他可能各方面領域的專家博士
但卻有可能把電腦搞爛掉
群組權限管理，主要就是為了避免使用者把電腦搞爛掉
中毒或被植入木馬

4.驗證電腦帳號，鎖定IP或MAC
禁止不符身分的電腦進入網域或網路
前面提到，一加入網域，client電腦的所有權限，就被控管了
這包括了，網路連線的權限
一般沒有網域的windows電腦
若處於同一個工作群組，同工作群組的電腦可以連入
又或者使用UNC的方式連入
但加入網域的電腦，就好比門口設了門禁(防火牆)
要有辦法通過門禁(登入)，才能使用網域的資源，連入各client電腦
這就好像一道防火牆，凡不符規則的封包，通過皆被丟棄
自然無法對內部網域的電腦造成威脅


電腦對一間企業來說，它是一個工具，而不是網咖
比方說，有些公司會只准port 80連外(瀏覽網頁)
這是因為老闆下了指令：
1.防止員工利用任何方法偷資料出去，諸如：e-mail，ftp...等
2.防止員工上班用聊天軟體聊天，玩線上遊戲

當然只開剩下port80，還是不夠的
網路上還是有web-mail，web-hd
甚至MSN都能利用port80連上，聊天或傳檔
這還需要硬體防火牆的幫助，過濾封包內容

而這一切都會讓員工很反感，因為這樣上班就不能偷懶了
但是老闆的命令又是非常清楚的
防止這一切，不然就是回家吃自己
MIS又能怎麼辦呢，當然是只能拿人錢財替人辦事囉

台灣的MIS，真是一個吃力不討好的職業
有AD，要會MCSE
有Linux，要會LPI
有網路，要懂CCNA
要組裝電腦，修電腦，分析採購最佳設備
有時還要懂製作網頁，熟PHP，MySQL
有時還幫助企劃，動腦想企劃
最慘的是換燈管那些雜物，都要一手包辦，簡直就是庶務二課
那些看起來不起眼的工作，其實底下是由很多知識學問砌出來的

有AD (合法版權)還算比較輕鬆的咧
軟體能派送，作業系統也能派送
沒AD的更慘，一天到晚重灌重灌，安裝有的沒的
重複性的機器人工作，做上幾百次
好家在網路上有人提出了
ghost還原大法，無人值守自動安裝，軟體重新封裝
省下不少時間 :)


我個人是比較支持開放原始碼的觀念
系統架構就是這樣，不怕你知道，你有辦法就鑽漏洞來破解
如果被破解了，那這套系統就是有問題，有必要修正
MIS的工作，或說資安人的工作
就是要做到安全"滴水不漏"
無時無刻要自己想辦法破解自己架的系統，來驗證安全性
而不是一天到晚燒香拜彿，祈禱別人不要上門找碴
:)

台灣的MIS，真是一個吃力不討好的職業
有AD，要會MCSE
有Linux，要會LPI
有網路，要懂CCNA
要組裝電腦，修電腦，分析採購最佳設備
有時還要懂製作網頁，熟PHP，MySQL
有時還幫助企劃，動腦想企劃
最慘的是換燈管那些雜物，都要一手包辦，簡直就是庶務二課


講的真是貼切.....簡直是什麼都要搞..
還要隨時準備好被任何人...噱一頓.. :|||:

M$ AD網域，作用之處大致可分為幾項：


我個人是比較支持開放原始碼的觀念
系統架構就是這樣，不怕你知道，你有辦法就鑽漏洞來破解
如果被破解了，那這套系統就是有問題，有必要修正
MIS的工作，或說資安人的工作
就是要做到安全"滴水不漏"
無時無刻要自己想辦法破解自己架的系統，來驗證安全性
而不是一天到晚燒香拜彿，祈禱別人不要上門找碴
:)

說的真貼切.....
與其被駭客或spy破解公司內網的安全
倒不如時時準備應戰的心理準備
優值的MIS應該要有這樣的心態

看來這邊應該不少MIS,有點一面倒,
安全性跟方便性一定是tradeoff,
最好是大家都不準用電腦最安全.
MIS責任不是消極防堵,
應該是在適當安全前題下,竭盡所能滿足各業務單位使用個人電腦, 不然老實說,
花錢養MIS幹啥,通通堵起來,躺著幹就好.

觀點不同 !!
1. 什麼是"消極防堵" <= 明知道這是不安全的漏洞,MIS把漏洞堵起來,這樣卻被嫌是消極防堵

2. 資訊從業人員應該都知道 : 門戶開放的愈多,漏洞就愈多
什麼叫"適當安全前提下" <= 說的很簡單,要做談何容易
打個比方 : 只要開門就會有縫,有縫就可以鑽進去 , 要嘛就不開門 , 開了門就有機會進去
要怎樣去得平衡點 ? 端看各公司的資安政策 ~ 而不是一昧的看不起MIS認為他們都是米蟲