綜。於。原。味

關於部落格
生命就該浪費在美好的事物上
  • 234103

    累積人氣

  • 1

    今日人氣

    0

    訂閱人氣

預設Domain User 權限可以將電腦加入網域,還有十次的機會(暈)

挫賽~


阿惟反應一般Domain user就可以把電腦加入網域時,
當下我還不相信!實際操作後,才發現,
哇咧!還真的可以耶....


想像,原本設定要加入網域的電腦才可以存取的網路空間

user只要帶自己的notebook來,用自己的AD帳號把notebook加入網域,就可以把檔案通通搬回家了!


或者是因為平常把Facebook 、噗浪、MSN鎖光光
對你積怨已深,不斷的加入網域、退出網域!!
還可以有10次的機會=,,=


站在資訊管理的角度,
這可算是危及公司資訊安全的重大漏洞=,,=


★這麼重要的東東,上課老師沒講,教材也沒寫,
重點是考試時也沒考★



亡羊補牢


以下兩個方式


方式一:
開始->程式集->網域安全性原則->安全性原則->本機原則->使用者權力指派->將工作站加入電腦->將 Authenticated User 改成 Domain Admin。


方式二:
更改加入網域 10 次限制
ADSI edit—> 選取 domain (dc=contoso,dc=com)
(這個工具要從安裝光碟的Support目錄自己安裝)



找出ms-DS-MachineAccountQuota的 attribute
預設是 10,可以透過這裡修改加入網域的次數。


方式三:
可以使用委派來管理
加入網域ADUC—>View —> Advanced feature
按右鍵檢查 computer 的 properties
Security tab—> Advanced
Permission tab —> authenticated users—> Edit


將下列兩個打勾
Create Computer object
Delete Computer object ACEs


==========================


雖說並不是每個人都會加,而且加入會受AD控制,
還是趕緊用方式一修補,
測試一般Domain User無法加入網域才放心!

相簿設定
標籤設定
相簿狀態