Kree | 引用:
猜測是因為AD那邊,有設定[忽略本機的硬體設定]之類的 AD的成員分有兩種 一種是使用者,一種是電腦 (鎖 IP 或 MAC 或 windows識別碼) 這兩種都會受到AD裡的群組原則限制 3.這和使用者登入或不登入網域沒有太大關係 windows 電腦,在區域網路上的身分,有分 [工作群組] 和 [網域] 兩種 只要client端NT電腦加入[網域],就已經被網域控制了 只有退出網域,才能不受控制 5. 其實禁USB,最主要也是怕員工用快閃碟偷公司資料 所以就算申請自己電腦要可以使用USB,八成也是不會過 因為可以用USB,等於可以用快閃碟,等於可以偷資料.... 但是這種情況下 公司應該要提供幾台,沒有和內部機密資料連接的電腦 可以使用USB才對 BIOS 沒有鎖,安全性等於開了大漏洞 比方說,由光碟開機,由軟碟開機,由 USB Flash 開機.....等等 只要不從硬碟的NT開機,自然不會受到網域管制 光碟開機,可以使用 Linux live CD 一片光碟就可開進有x-window的作業系統 然後,要用USB,也就不是難事了 磁片開機,可以開進DOS,加掛USB驅動 去讀取USB快閃碟的資料 但硬碟要有FAT/FAT32磁區,才能存入 有些主機板的BIOS,USB Flash 也能開機 一般是用DOS | |
回覆 |
進階會員 | 在一位電腦管理人員裡,這種不循正當管道申請使用權限 挑戰公司安全政策的職員是一個隨時引爆的熱點 你說公司要你們使用數位像機卻不開放USB裝置使用權 是說不過去的,你或許只是想下載上傳一些資料 但是卻和公司安全政策牴觸,上班就乖乖上班 |
回覆 |
我是嫩咖 | 引用:
| |
回覆 |
會員 | 引用:
但我只是純粹就技術面想了解,到底網管是如何辦到, 人不到現場就有辦法鎖全公司的USB,現在終於了解, 原來只要加入網域,就被控制住了,就算登出網域也是一樣, 除非完全退出,可是卻沒有這個選項是嗎? 一定要自己去砍REGISTRY, 要是網管也把要砍的機碼也鎖住呢? 是不是就無解了呢? | |
回覆 |
Kree | 引用:
退出網域的選項,好像只有以「網域管理員身分」登入,才看的到 在退出的過程中,windows會要求再次輸入網域管理員密碼 包含登入的那一次,總共要輸入兩次 不過好像也可從AD直接把電腦成員踢出網域,我不太確定 網域管理員 通常是 AD server (win2000 /2003 server版)的 administrators 或是經由授權加入網域管理員群組的成員 網域管理員,登入工作站的時候,有些地方也不太一樣 例如可能會多了一個:Active Directory管理工具的目錄 (可開放或不開放) 從工作站電腦上,就可以遠端直接操作AD上的一些群組原則設定 不用跑到機房去操作server 但實際上遠端操作非常危險,一般都不會開放 因為如果網域管理員的密碼不小心洩漏了,他的麻煩就大了 AD無法鎖住本機的Admin去砍硬碟裡的資料 (破壞win系統的完整性) 因為本機Admin可以重新取得檔案權限,他就能把檔案砍了 所以一般來說,AD網域的環境,絕不會開放可以從本機登入 那等於是開了一道安全性漏洞的後門 軟體安裝的問題,應由軟體派送解決,而非開放給使用者高等權限 更改硬體設備的話 有些較高級的電腦,例如:IBM電腦,機殼可以上鎖 或是辦公室都有裝數位錄影的攝影機,不是防小偷的,是防員工的 MCSE 的 AD,其實是蠻好用的 它是屬於中央控管式的系統,可以節省很多管理時間 直接修改AD的群組原則,就能套用到所有加入網域的工作站 軟體派送,可以很容易的就把所有工作站台所需的軟體都灌好 不過AD的成本$$太高了,授權費不只server版,還有client端連接數 且windows的壽命,頂多5-10年,就要被強迫升級 像NT4的PDC,微軟已經停止支援了,再過幾年,就是W2K了 升級升級,花錢花錢,永無止境....... 小小心得: 如有意更換到 Linux server 環境 千萬記得在把 AD server 砍掉前,要先把所有工作站台退出網域 我上次就是忘記退出 天啊,一台台去拆硬碟,砍掉密碼檔... 還好電腦不多,加班三小時做完,不然隔天上班員工沒電腦用就完蛋囉 | |
回覆 |
無女友的人生34年 | 引用:
群組原則是個 好用的網管工具... | |
回覆 |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。