背景简介:我从 Win2k 开始就一直在使用组策略;我所在的组织刚刚开始推广 Active Directory。我遇到过一些情况,需要在一定数量的工作站(约 40 个)上提供对桌面会话和一些应用程序的访问权限。这些用户不会是管理我们域中的 AD 帐户的个人。我模拟了一个非常严格的计算机和用户策略(不是本地组策略),并希望将其应用于这约 40 个工作站。我将有几个不同的用户帐户,这些帐户只能登录到这些设备的子集。为了便于讨论,假设有 4 个用户,每个用户都可以登录到 10 个不同的工作站。支持这些设备的员工将知道密码。
我过去曾多次通过创建类似的限制性政策来实现这一点。这些登录名除了他们登录的本地设备外没有任何权限,这是由政策强制执行的。
我参与了一场激烈的讨论,而讨论的另一端告诉我,我应该在每个设备上使用本地帐户和本地组策略,而不是使用域帐户(大多数权限被撤销)和应用于相应 OU 并由域组过滤的域策略。
对于我来说,编写某种脚本来复制本地组策略对象效率低得多。我无法访问域策略提供的所有设置,然后我必须“管理”所有这些设备上的本地用户帐户和密码。
有人告诉我,我之所以应该朝这个方向发展,是因为域用户帐户比本地帐户“更危险”,因为它们不是本地帐户。我的观点是,如果应用了正确的策略,这两种情况都存在同样的风险——有人可以登录到这些机器并获得桌面/应用程序访问权限——这实际上是要求,所以风险的表达正是我的要求。这是一个已知的风险,我必须承担它才能满足要求——无论我以何种方式实现它。
我忽略了什么?我已经这样做过很多次了,但我被告知我错了,却没有明确说明我做错了什么。我只是被告知要使用本地帐户和政策来做这件事。
我是否应该使用本地组策略来完成任何可以通过组策略完成的事情?
谢谢您提供的任何见解和经验来支持/反驳我的断言。
答案1
答案可能很复杂:
- 从安全角度来看,我总是更喜欢域策略而不是本地策略,它也能让你对它们有一定的控制权
- 您说用户是本地用户,他们不会在域中。无论如何,我更希望将所有内容集中起来,但我可以理解为什么有人会这样做 - 未连接到域的工作站(询问该问题)然后使用域 gpo 管理它们可能会更加复杂。
- 从努力程度上来说,我相信制定本地政策需要付出更多努力(取决于你需要对它们进行多少定制)
- 本地用户与域用户安全性。域用户总是比本地用户(集中身份验证-本地授权)更安全。
看来,您的分歧是由于双方对需求缺乏了解造成的。我会和对方坐下来,问以下问题:
- 工作站的范围是什么,用户将从事哪些工作,他们是我们的员工吗?
- 他们的工作站应该有多安全?
- 我们将如何更新他们的密码/安全政策?
- 我以后还会有时间做这些事吗?
- 有没有什么方法可以改善这一现状,使双方都受益?
- 尝试解释一下域名政策和本地政策所花费的努力之间的差异。
- 尝试去理解为什么他认为本地的会更好。
- 如果一切都失败了,和他/她出去喝杯咖啡,或者做一个 SWOT 评估https://en.wikipedia.org/wiki/SWOT_analysis
希望这有帮助!