我正在构建一个环境,其中主要使用 Active Directory 来执行以下操作:
- 对我们的服务器(Linux 和 Windows)进行集中身份验证和授权
- 我们各种服务的单点登录(SAML 等)
- 企业 PKI 分发
在我们公司,所有员工都享有较高的自由度。我们不关心他们在电脑上安装什么软件以及访问哪些网站。因此,我们希望保持以下几点:
- 所有用户几乎都可以在他们使用的计算机上做任何他们想做的事情(安装软件、浏览任何网站)
- 用户无法访问彼此的文件
- 只有基础设施人员才能访问服务器
这似乎是一种不常见的设置,因为我们想保持所有用户的自由(我们甚至让他们自带设备)。
在这种情况下我应该做哪些最重要的配置?有很多默认 GPO 会阻止标准用户执行很多操作。
答案1
所有用户几乎都可以在他们使用的计算机上做任何他们想做的事情(安装软件、浏览任何网站)
用户无法访问彼此的文件
只有基础设施人员才能访问服务器
对于上述第 (1) 点和第 (2) 点,请确保向用户提供本地管理员权限仅适用于使用的笔记本电脑。
对于第 (3) 点,确保为基础设施用户提供域管理员权限。
此外,如果像您所说的那样,笔记本电脑大部分时间都在办公室外使用,那么您可能也希望在笔记本电脑上启用 BitLocker。
答案2
在正常和默认设置/配置下,标准用户无法以管理方式访问服务器(如果服务器和用户帐户和组已正确配置),标准用户无法访问其他用户的文件(如果文件已正确保护)。如果您将适当的标准用户帐户添加到每台计算机上的本地管理员组,则每个用户将仅在其计算机上拥有本地管理员权限,并且在任何其他计算机、服务器或域中都没有管理员权限。
答案3
实际上,您在此处描述的是用户的标准设置。不过,安装软件可能需要本地管理员权限。这取决于软件。不过,具有本地管理员权限的人可以访问系统上的所有文件,包括其他用户的文件。
如果您将文件保存在 NAS 或类似设备上,您可以在那里进行正确的管理,而本地管理员将无法访问这些文件。
通过 RDP、WinRM 或类似方式访问服务器时,默认情况下只有域管理员才允许访问,其他任何人都必须添加到服务器上的相应组中。