日期:2014-05-17  浏览次数:20681 次

企业网络域的问题???

问题描述:
   
    客户端电脑加入到域中,并把普通权限的域账号添加进客户端的本地管理员组中,发现客户端不管是

本机登入还是域账号登入,退出域竟然不需要域管理员的权限,只要本机管理员权限就行了??
   
    如果限制本地登入的话,直接用域账号登入,就必须把域账号添加进客户端的本地管理员组中,这样

下面客户端安装软件的就不会有问题了,但是这样一来,这个域账号又可以新建一个本地管理员的账号,

又可以退出了,所以,感觉很矛盾。

    请问高手,如何解决这一问题,限制下面的电脑退出域呢?

------解决方案--------------------
1 可以用分发策略

2 临时采用 run as 安装
------解决方案--------------------
可以用打包软件 部署非msi
------解决方案--------------------
如果需要保障客户端的安全,那么就不能给管理员权限。
关于软件权限的问题,请参考
http://gnaw0725.blogdriver.com/gnaw0725/396833.html
http://gnaw0725.blogdriver.com/gnaw0725/1116686.html
------解决方案--------------------
这个问题在很多企业都是存在的,域就是一个集中管理的策略,如果所有的用户都要向不受限制,那域就没有存在价值了。客户机的软件应该是管理员预定义的。如果客户可以随便安装,那就没有管理和安全可言了。

如果你非要普通的用户也能安装任意软件,那只能用 RUN AS的方式来安装,装之后让普通用户以DOMAIN USER的权限来运行。不能保证所有的软件都能运行,但是大部分是可以的。

不要轻易的吧DomanUsers加入到Administrators组中。