2008DC
| User |
→
| administrator | windows |
| Computer |
→
| SYSTEM | windows |
| Network |
→
| Network Service | windows |
| 本機 |
→
| Local Service | windows |
→
| DNS admins | DNS | |
→
| DHCP admins | DHCP | |
| VPN | |||
| SSL |
Permission:權限→對資源可做的事(存取面)
Audit:稽核→針對特定的人、事物、時間、結果,進行記錄與跟蹤。
讀取資料記錄事件:
在GPO權限設定User Rights Assignment的時候,記得設定在Default Domain Controller Policy的部份,不要設定在Default Domain Policy,不然大家都會被鎖住不能登入XD。
實作部份(一)
現在要設定在Server本機端,一般的使用者可以登入(只允許本機登入,但是沒有管理權限)
Group Policy Management – Domain Controllers – Default Domain Policy - edit
Computer Configuration – Windows Settings –Security Settings – Local Polices – User Rights Assignment – Allow log on locally
Add User or Group
Browse - 打上Users
記得把要在本機登入的使用者移到Domain Controllers
登出Administrator ,用andy登入
實作部份(二)
防止管理群組被亂加!
Domain Controller Policy – edit
Computer Configuration – Windows Settings Security Settings – Restricted Groups –
Add Group
Administrators
Add - 加上這幾個權限,DomainB3\Administrator
DomainB3\Domain Admins
DomainB3\Enterprise Admins
DomainB3\Andy
設定完之後,在Builtin的地方查看權限設定是否設定完成,如果有心人想將某些user偷偷加入管理群組,這是沒有辦法的,因為只要在幾分鐘後,就會將這些user清除掉。
實作部份(三)
在公司中,可能因為某些User使用某些程式而會影響到工作,例如聊天軟體之類的東西或者是遊戲,這部份我們可以在GPO Policy去設定!讓他無法去執行某些程式,以下的練習是以鎖定notepad的程式。
在這之前我們先建一個OU,並將andy移進該OU中。
在Group Policy Management – IT – Create a GPO in this domain, and Link it here…
New GPO – Name: SRP
User Configuration – Windows Settings – Security Settings – Software Restriction Policies
Create – Additional Rules
Path : notepad.exe
Security level : Disallowed
設定完後,執行 GPupdate /force ,這樣就會立刻執行。
接著我們利用andy登入windows 7,發現我們沒有辦法執行notepad,這樣代表我們的設定成功。
沒有留言:
張貼留言