我正在构build一个使用Active Directory的环境,主要用于:
在我们公司,所有的员工都有了更高的自由度。 我们不关心他们在计算机上安装哪些软件以及他们访问哪些站点。 所以,我们想保持以下内容:
似乎这是一个不寻常的设置,因为我们要保持所有用户的自由(我们甚至在这里带来自己的设备)。
在这种情况下,我应该做的最重要的configuration是什么? 有很多默认GPO阻止了标准用户的很多事情。
所有用户都可以在他们使用的计算机上做任何他们想做的事情(安装软件,浏览任何网站)
用户不能访问其他文件
只有基础设施人员才能访问服务器
对于上面的要点(1)和(2),请确保为用户提供本地pipe理权限,仅限于使用的笔记本电脑。
对于(3)点,请确保为基础设施用户提供域pipe理权限 。
另外,如果您说,笔记本电脑大多数时间都在办公室外使用,那么您也可以在笔记本电脑上启用BitLocker。
在标准和默认设置/configuration标准下,用户不能以pipe理方式访问服务器(如果服务器和用户帐户和组已被正确configuration),标准用户不能访问其他用户文件(如果文件已被妥善保护) 。 如果您将相应的标准用户帐户添加到每台计算机上的本地pipe理员组,则每个用户在其计算机上只具有本地pipe理员权限,并且在任何其他计算机,服务器或域中都不具有pipe理员权限。
其实,这里描述的是用户的标准设置。 虽然安装软件可能需要本地pipe理员权限。 这取决于软件。 有本地pipe理员权限的人可以访问系统上的所有文件,包括其他用户的文件。
如果您将文件保存在NAS或类似文件中,则可以在那里进行正确的pipe理,本地pipe理员将无法访问这些文件。
访问服务器,通过RDP,WinRM或类似的服务器,只允许域pipe理员默认情况下,任何人都必须被添加到服务器上的相应组。