9,506
社区成员
发帖
与我相关
我的任务
分享讨论一下, 你所在的公司局域网中有用域控制器吗?如果有, 那么如何有效约束域管理员的行为
最近公司准备改网络, 把原先工作组形式的局域网做成域形式的局域网, 专门买了服务器, 装了windows server 2003。
目的嘛当然是方便网络管理, 网络监控了。
但由此带来一个问题, 据我了解, 域控制器具有几乎无限的权力, 可以在网络中分发安装程序, 指定客户机开机运行程序, 修改客户机的注册表, 删除客户机上的文件...
那么如果是这样的情况, 域管理员的行为, 就必须有严格的约束, 否则的话, 他想给客户机安装什么程序都可以, 甚至直接分发一个登陆时运行的批处理, 给你来个rmdir /s /q, 那客户机上的文件不就全完了。
所以在这里调查一下, 你所在的公司, 有使用域吗? 如果有的话, 那么如何有效约束系统管理员的行为不越界。
总不能只靠rp吧
目的嘛当然是方便网络管理, 网络监控了。
但由此带来一个问题, 据我了解, 域控制器具有几乎无限的权力, 可以在网络中分发安装程序, 指定客户机开机运行程序, 修改客户机的注册表, 删除客户机上的文件...
那么如果是这样的情况, 域管理员的行为, 就必须有严格的约束, 否则的话, 他想给客户机安装什么程序都可以, 甚至直接分发一个登陆时运行的批处理, 给你来个rmdir /s /q, 那客户机上的文件不就全完了。
所以在这里调查一下, 你所在的公司, 有使用域吗? 如果有的话, 那么如何有效约束系统管理员的行为不越界。
总不能只靠rp吧
...全文
请发表友善的回复…
发表回复
captainwh 2010-07-16
- 打赏
- 举报
我觉得我这种考虑并不是杞人忧天吧, 难道将企业的所有数据和信息, 都放心的交给网管?
这个网管也许现在很称职, 人品看来不错; 但将来呢, 会不会处于某种动机, 做一些危害企业的事情?
比如将技术机密, 客户资料泄露给竞争对手。 或者只是偶尔给你来点恶作剧, 搞点小故障。
这个网管也许现在很称职, 人品看来不错; 但将来呢, 会不会处于某种动机, 做一些危害企业的事情?
比如将技术机密, 客户资料泄露给竞争对手。 或者只是偶尔给你来点恶作剧, 搞点小故障。
check_D 2010-07-16
- 打赏
- 举报
如果出于楼主的这种考虑。
那你可以要求管理员对域所做任何操作写入日志。 对文件进行严格的权限设置与审核策略。
然后。 你就可以整天什么事都不做。 直接在那里看日志了。 一天的日志 。。 你一个星期都未必看得完。 还会带来N多的权限问题。
那你可以要求管理员对域所做任何操作写入日志。 对文件进行严格的权限设置与审核策略。
然后。 你就可以整天什么事都不做。 直接在那里看日志了。 一天的日志 。。 你一个星期都未必看得完。 还会带来N多的权限问题。
captainwh 2010-07-16
- 打赏
- 举报
看有没有更好的解决方案, 总不能让网管成为god吧, 那员工和老板都没有安全感。
电脑里少了一些重要文件 --> 谁删的? 用电脑的员工 or 公司网管 ?
电脑里少了一些重要文件 --> 谁删的? 用电脑的员工 or 公司网管 ?
weishenmobuxing 2010-07-16
- 打赏
- 举报
办法就是自己当老板,还是个体户,自己的事自己负责。
myhope88 2010-07-16
- 打赏
- 举报
没用过,帮顶下
captainwh 2010-07-16
- 打赏
- 举报
楼上还是没明白我的意思, 域管理员肯定要找人品好的, 但企业的管理不能只靠人品吧, 人品再好, 也不能保证不犯错误。
需要什么样的制度, 或者技术手段, 来对域管理员的行为做约束。
上面我提了一种, 就是对域控制器进行视频监控, 将域管理员的所有操作都摄录下来, 并且禁止远程登录域控制器。这就相当于域管理员在对客户机进行管理操作的时候, 一举一动都是被监控的, 也就不能也不敢用手中的权力去做危害企业的事情。
还有没有提出其他有效方法的?
需要什么样的制度, 或者技术手段, 来对域管理员的行为做约束。
上面我提了一种, 就是对域控制器进行视频监控, 将域管理员的所有操作都摄录下来, 并且禁止远程登录域控制器。这就相当于域管理员在对客户机进行管理操作的时候, 一举一动都是被监控的, 也就不能也不敢用手中的权力去做危害企业的事情。
还有没有提出其他有效方法的?
就是just4 2010-07-16
- 打赏
- 举报
既是域管理员,就正如公司老大一样,公司老大要干坏事,你员工又能如何,国家领导要国家亡,你普通老百姓又能如何
权力这东西不仅是权威,更是少数的代表,更是信任和自我约束的代表,楼主找一个不三不四的人做系统管理员,不是自食恶果
权力这东西不仅是权威,更是少数的代表,更是信任和自我约束的代表,楼主找一个不三不四的人做系统管理员,不是自食恶果
captainwh 2010-07-16
- 打赏
- 举报
[Quote=引用 17 楼 pstdouble 的回复:]
疑人不用 用人不疑。我只能够说,在楼主手下做IT一定很累,如果我是你们的网管肯定立马辞职。
一方面希望IT管理员帮你管公司IT,一方面又怕他破坏,还想不让远程?那半夜服务器挂了怎么办?再说,域管理员即使不登陆到DC上,他登陆域内任何一台计算机都不成问题。
我公司说大不大,可是也不算小,两三万的PC客户端,上千台Server,公司的资料也一样被很多竞争对手所窥视着。也没看老板整天担心我们……
[/Quote]
那是你们老板还没有意识到这个问题的严重性, 这种事, 的确发生的几率不大, 但只要碰上一次。。。
我并不是说对人总是疑神疑鬼, 举个例子, 你之前很信任的网管, 因为某种原因离职了,
怎么办? 企业的网络不能没人管, 新招来的网管, 还和以前的一样值得信任吗? 就不需要任何监督和约束? 就这样把一家企业的所有信息和秘密, 都放心大胆的交给这样一个新人?
毕竟, 企业机密一旦泄露, 是无法补救的; 重要数据一旦丢失, 是无法挽回的。
就像对一个社会, 一个国家来说, 权力需要被监督, 被约束;
不能仅仅出于信任,就无限制的放任权力的使用;
我想了解的,就是对于这方面的管理经验, 寻求一些好的制度和技术手段。
疑人不用 用人不疑。我只能够说,在楼主手下做IT一定很累,如果我是你们的网管肯定立马辞职。
一方面希望IT管理员帮你管公司IT,一方面又怕他破坏,还想不让远程?那半夜服务器挂了怎么办?再说,域管理员即使不登陆到DC上,他登陆域内任何一台计算机都不成问题。
我公司说大不大,可是也不算小,两三万的PC客户端,上千台Server,公司的资料也一样被很多竞争对手所窥视着。也没看老板整天担心我们……
[/Quote]
那是你们老板还没有意识到这个问题的严重性, 这种事, 的确发生的几率不大, 但只要碰上一次。。。
我并不是说对人总是疑神疑鬼, 举个例子, 你之前很信任的网管, 因为某种原因离职了,
怎么办? 企业的网络不能没人管, 新招来的网管, 还和以前的一样值得信任吗? 就不需要任何监督和约束? 就这样把一家企业的所有信息和秘密, 都放心大胆的交给这样一个新人?
毕竟, 企业机密一旦泄露, 是无法补救的; 重要数据一旦丢失, 是无法挽回的。
就像对一个社会, 一个国家来说, 权力需要被监督, 被约束;
不能仅仅出于信任,就无限制的放任权力的使用;
我想了解的,就是对于这方面的管理经验, 寻求一些好的制度和技术手段。
captainwh 2010-07-16
- 打赏
- 举报
楼上说的太简单了, 开掉一个, 不是还得来新的嘛? 关键是, 域管理员的无限权限, 可能给企业造成很大的损失, 比如数据的丢失, 机密的泄露。
我关心的不是出事之后如何去处理, 去追究的问题, 而是如何防患于未然, 将域管理员的行为约束起来, 让他有权也不敢用, 因为一旦越界就会被发现。
我关心的不是出事之后如何去处理, 去追究的问题, 而是如何防患于未然, 将域管理员的行为约束起来, 让他有权也不敢用, 因为一旦越界就会被发现。
2321zhf 2010-07-16
- 打赏
- 举报
管理员是用来约束别人的
对管理员只能靠他的责任心,如果没有责任心,开掉,没什么好说的.
对管理员只能靠他的责任心,如果没有责任心,开掉,没什么好说的.
captainwh 2010-07-16
- 打赏
- 举报
windows server 2003我没用过, 但我想如果域管理员想要在某一台客户机上不留痕迹的删除一些文件, 那是肯定能做到的。 但这样的话, 让客户机用户很没有安全感。
比如, 我的硬盘上无缘无故丢了几个文件夹, 要是没有域, 那肯定会想是自己误操作删了。 但在有域的情况下, 那就不好说了。
而且这种行为, 并不是不可能吧, 不是有网管的名言嘛“让网络常出点问题, 让领导的机器常出点问题”, 这样才能体现网管的重要性啊。
我想在域控制器上禁用远程登录, 并且使用视频监控域控制器主机上的所有操作, 应该是一个可行的方法。
这样域管理员虽然有无限权限, 但只能受限的使用, 不可能做出对客户机有危害的事情。
比如, 我的硬盘上无缘无故丢了几个文件夹, 要是没有域, 那肯定会想是自己误操作删了。 但在有域的情况下, 那就不好说了。
而且这种行为, 并不是不可能吧, 不是有网管的名言嘛“让网络常出点问题, 让领导的机器常出点问题”, 这样才能体现网管的重要性啊。
我想在域控制器上禁用远程登录, 并且使用视频监控域控制器主机上的所有操作, 应该是一个可行的方法。
这样域管理员虽然有无限权限, 但只能受限的使用, 不可能做出对客户机有危害的事情。
jackiedzc 2010-07-16
- 打赏
- 举报
不要动坏脑筋,法网恢恢,疏而不肉~
check_D 2010-07-16
- 打赏
- 举报
域管理员的网络管理权限是不可被约束的。 如果管理员的权限都被约束了。 那公司网络怎会正常,安全!
对于你所说的域管理员的一些行为,那是由公司的行为制度去管理的。
再说,真像你所说,管理员来个rmdir /s /q 那样子的话。 那还不是他自己受累!
对于你所说的域管理员的一些行为,那是由公司的行为制度去管理的。
再说,真像你所说,管理员来个rmdir /s /q 那样子的话。 那还不是他自己受累!
pstdouble 2010-07-16
- 打赏
- 举报
疑人不用 用人不疑。我只能够说,在楼主手下做IT一定很累,如果我是你们的网管肯定立马辞职。
一方面希望IT管理员帮你管公司IT,一方面又怕他破坏,还想不让远程?那半夜服务器挂了怎么办?再说,域管理员即使不登陆到DC上,他登陆域内任何一台计算机都不成问题。
我公司说大不大,可是也不算小,两三万的PC客户端,上千台Server,公司的资料也一样被很多竞争对手所窥视着。也没看老板整天担心我们会不会删数据,偷数据。
一方面希望IT管理员帮你管公司IT,一方面又怕他破坏,还想不让远程?那半夜服务器挂了怎么办?再说,域管理员即使不登陆到DC上,他登陆域内任何一台计算机都不成问题。
我公司说大不大,可是也不算小,两三万的PC客户端,上千台Server,公司的资料也一样被很多竞争对手所窥视着。也没看老板整天担心我们会不会删数据,偷数据。
captainwh 2010-07-16
- 打赏
- 举报
发现讨论这个主题的网上信息很少, 难道这么多企业都没有意识到这个问题的严重性吗?
引用一下ISA中文站上的一个帖子:
"
西夏的2006年10月11日 05:17
可以随意登陆某个人的电脑,可以通过默认共享查看别人电脑中的文件,除了自身的职业道德和法律意识外,还有没有其他手段来约束呢?
另外请教如何在组策略中用脚本清除域中某个OU中计算机的默认共享?
isacn2006年10月11日 21:39
如果是有本地管理员根权,是XP的系统嘀话,可以开启防火墙,域管理员就什么事也做不了啦!
西夏的2006年10月11日 21:41
QUOTE(isacn @ 2006年10月11日 21:39)
如果是有本地管理员根权,是XP的系统嘀话,可以开启防火墙,域管理员就什么事也做不了啦!
如果个个都有本地管理员权限的话,那建域还有什么意义呢?
zouliqing2006年10月14日 10:06
哪果你觉得域管理员权限太大的话,你可以让老板来当域管理员,然后你每次需要输密码的时候就打电话给老板让他跑来输一下。(哈哈)
前几天听了微软的一个sql培训,里面提了SQL管理员问题,和这个差不多,里面提出的解决方法就是给数据库里面的数据加密,使管理员虽然可以看见资料,但是却不能使用。
西夏的2006年10月18日 13:39
QUOTE(zouliqing @ 2006年10月14日 10:06)
哪果你觉得域管理员权限太大的话,你可以让老板来当域管理员,然后你每次需要输密码的时候就打电话给老板让他跑来输一下。(哈哈)
前几天听了微软的一个sql培训,里面提了SQL管理员问题,和这个差不多,里面提出的解决方法就是给数据库里面的数据加密,使管理员虽然可以看见资料,但是却不能使用。
让老板做DC ADMIN,只输个密码有什么用,关键是操作的人啊
不知道一些保密性强的企业里对DC ADMIN有什么要求和限制?是如何来约束的?
"
刚才查阅《Windows Server 2003 系统安全管理》, 里面有提到限制域管理员在域客户机上的权限问题,
方法是用本机管理员账号登陆, 然后将域管理员组从本机管理员组中删除。
但看其他一些帖子中又说, 这样做也是没有保障的, 因为域管理员可以再把自己加入到客户机的管理员组中, 另外域管理员好像还可以分发程序, 可以修改客户机的注册表。。。
那么就是说, 只要域管理员想要这么做的话,那他一定能获得域中所有客户机的管理员权限。
还是...太不安全了
引用一下ISA中文站上的一个帖子:
"
西夏的2006年10月11日 05:17
可以随意登陆某个人的电脑,可以通过默认共享查看别人电脑中的文件,除了自身的职业道德和法律意识外,还有没有其他手段来约束呢?
另外请教如何在组策略中用脚本清除域中某个OU中计算机的默认共享?
isacn2006年10月11日 21:39
如果是有本地管理员根权,是XP的系统嘀话,可以开启防火墙,域管理员就什么事也做不了啦!
西夏的2006年10月11日 21:41
QUOTE(isacn @ 2006年10月11日 21:39)
如果是有本地管理员根权,是XP的系统嘀话,可以开启防火墙,域管理员就什么事也做不了啦!
如果个个都有本地管理员权限的话,那建域还有什么意义呢?
zouliqing2006年10月14日 10:06
哪果你觉得域管理员权限太大的话,你可以让老板来当域管理员,然后你每次需要输密码的时候就打电话给老板让他跑来输一下。(哈哈)
前几天听了微软的一个sql培训,里面提了SQL管理员问题,和这个差不多,里面提出的解决方法就是给数据库里面的数据加密,使管理员虽然可以看见资料,但是却不能使用。
西夏的2006年10月18日 13:39
QUOTE(zouliqing @ 2006年10月14日 10:06)
哪果你觉得域管理员权限太大的话,你可以让老板来当域管理员,然后你每次需要输密码的时候就打电话给老板让他跑来输一下。(哈哈)
前几天听了微软的一个sql培训,里面提了SQL管理员问题,和这个差不多,里面提出的解决方法就是给数据库里面的数据加密,使管理员虽然可以看见资料,但是却不能使用。
让老板做DC ADMIN,只输个密码有什么用,关键是操作的人啊
不知道一些保密性强的企业里对DC ADMIN有什么要求和限制?是如何来约束的?
"
刚才查阅《Windows Server 2003 系统安全管理》, 里面有提到限制域管理员在域客户机上的权限问题,
方法是用本机管理员账号登陆, 然后将域管理员组从本机管理员组中删除。
但看其他一些帖子中又说, 这样做也是没有保障的, 因为域管理员可以再把自己加入到客户机的管理员组中, 另外域管理员好像还可以分发程序, 可以修改客户机的注册表。。。
那么就是说, 只要域管理员想要这么做的话,那他一定能获得域中所有客户机的管理员权限。
还是...太不安全了
captainwh 2010-07-16
- 打赏
- 举报
这里应该很多兄弟所在的企业, 在使用域吧, 你们的企业, 是如何解决这个问题的呢
captainwh 2010-07-16
- 打赏
- 举报
的确要完全确保信息的安全, 需要很大的成本; 而且这不仅仅是一个技术上的问题。
常常看到各类帖子, 提到企业有几十上百台电脑, 就提倡使用域;并且列举了一堆使用域的好处, 方便管理了, 数据安全了...
但真的用了域, 就更安全吗?
但最不安全的, 恰恰是人, 举个极端的例子, 你的竞争对手收买了你的网管, 比如现金10W, 让他把公司的重要数据全部毁掉, 而这个网管在利益的诱惑下放弃了职业操守... 那么结果就很悲惨了, 且不说之后如何追究他的法律责任(追究责任又有什么意义呢), 这样的数据损失, 当然是损失惨重, 就此让一家企业垮掉也不是危言耸听。
所以我发这个帖子, 就是想和大家探讨一下, 在数据集中管理的模式下(比如使用域), 如何在制度上, 技术上, 去避免这种恶劣的情况发生。而不是仅仅去依靠网络管理员的职业道德和人品。
常常看到各类帖子, 提到企业有几十上百台电脑, 就提倡使用域;并且列举了一堆使用域的好处, 方便管理了, 数据安全了...
但真的用了域, 就更安全吗?
但最不安全的, 恰恰是人, 举个极端的例子, 你的竞争对手收买了你的网管, 比如现金10W, 让他把公司的重要数据全部毁掉, 而这个网管在利益的诱惑下放弃了职业操守... 那么结果就很悲惨了, 且不说之后如何追究他的法律责任(追究责任又有什么意义呢), 这样的数据损失, 当然是损失惨重, 就此让一家企业垮掉也不是危言耸听。
所以我发这个帖子, 就是想和大家探讨一下, 在数据集中管理的模式下(比如使用域), 如何在制度上, 技术上, 去避免这种恶劣的情况发生。而不是仅仅去依靠网络管理员的职业道德和人品。
2321zhf 2010-07-16
- 打赏
- 举报
像FBI一样,分级授权-------电影里面看的
成本好高
成本好高
qishine 2010-07-16
- 打赏
- 举报
都有日志记录的,但是查起来很费劲,
反正我是靠职业操守的.
反正我是靠职业操守的.
captainwh 2010-07-16
- 打赏
- 举报
此问题无解?
看来IT企业的机密都很好偷啊, 去应聘网管就可以了
看来IT企业的机密都很好偷啊, 去应聘网管就可以了
