客户想要一些新的软件。通常情况下,他们正处于签署合同的风口浪尖,然后才碰巧顺便向 IT 提及。
浏览技术要求没有什么特别之处,除了客户端/代理软件的所有用户都需要对其本地机器的“高级用户”权限。这将部署在呼叫中心,在那里我不会像在业务的其他部分那样认为用户是“受信任的”。
因此,我立即对此犹豫不决,但似乎在 Windows 7 中,高级用户不会做任何事情。
在 XP 上,它为您提供了大量访问权限”,而且我想我不知道在任何地方使用过它。我不得不承认,自 Vista 以来我什至没有考虑过它。
在 Win 7 机器上检查 secpol.msc,用户权限分配没有显示任何内容与高级用户相关的内容。然而,它的描述会让你相信“为了向后兼容而包含高级用户并拥有有限的管理权力”
有谁知道这些“有限的行政权力”究竟是什么?
微软似乎没有制作任何文件(我也找不到)来详细说明这个小组的工作,我能找到的唯一详细的技术说明都可以追溯到 2003/xp 及之前。
我们的客户之一是 Tier 1 PCI 公司,他们的审计员就我们作为系统管理员和我们的访问权限提出了建议。
我们管理他们完全基于 Windows 的基础架构,大约有 700 台桌面/80 台服务器/10 台域控制器。
他们建议我们转向一个拥有三个独立账户的系统:
DOMAIN.CO.UK\UserWS
DOMAIN.CO.UK\UserSRV
DOMAIN.CO.UK\UserDC
然后制定策略以防止从错误的帐户登录到错误类型的系统(包括删除非 DC 计算机上域管理员帐户的交互式登录)
这是为了防止受感染的工作站公开域管理员登录令牌并针对域控制器重新使用该令牌的情况。
这似乎不仅对我们的日常运营来说是一项非常具有侵入性的政策,而且还需要进行大量工作,以解决相对不太可能的攻击/利用(无论如何这是我的理解,也许我误解了这种利用的可行性) .
我很想听听其他管理员的意见,尤其是这里那些曾经参与过 PCI 注册公司并且您有类似建议的人。您对管理员登录有何政策。
作为记录,我们目前有一个我们通常使用的域用户帐户,以及一个域管理员帐户,当我们需要其他权限时,我们也会提升该帐户。老实说,我们都有点懒惰,经常只是使用域管理员帐户进行日常操作,尽管这在技术上违反了我们公司的政策(我相信你明白!)。
当用户因任何原因更改其帐户密码时(阅读:已过期),并且旧密码存储在他通过 EAS 连接的移动设备中。这将导致他的帐户几乎立即被锁定 - 根据 AD 中定义的锁定策略应该如此。很容易弄清楚那部分。困难的部分是阻止它发生。我到处看。没有。基本上这个难题有四个部分:EAS 设备、TMG (ISA) 服务器、EAS 协议和最后的 AD。他们都没有办法阻止 EAS 设备无法进行身份验证。所以我想我必须想出一个聪明的解决方法。我唯一能想到的就是为所有 EAS 用户创建一个组并将他们排除在锁定策略之外,这显然违背了策略的全部目的,
问题:您能想出任何其他方法来防止 EAS 锁定帐户吗?
环境:主要是通过EAS的iOS设备。TMG 2010。Exchange 2007。AD 2008 R2。
exchange active-directory group-policy activesync microsoft-ftmg-2010
我们的公司笔记本电脑被限制为仅允许通过我们的代理访问互联网(Internet Explorer 中的连接配置文件通过 GPO 推送)。在远程/第 3 方连接上,这可以通过创建返回公司网络的 VPN(思科 VPN 客户端 -> 思科 ASA)来实现,此时代理可用,我们通过它路由所有互联网流量。
最近,我们的一位用户提出了一个问题,他试图在火车上使用无线连接。火车公司要求用户填写在他们自己的网络上托管的表格。
我们遇到的问题是用户无法访问火车公司内部页面,因为代理不可用。他们无法连接 VPN,因为他们还没有完成火车公司的登录页面。
我们认为我们可以在“这个地址的绕过代理...”中指定这个页面,这将允许只连接到那个页面,这被拒绝了,因为我们将不得不开始添加每个火车公司、酒店、公共热点以这种方式工作(必须是数千个列表)
第二个建议是允许连接到任何本地网络范围(10.* 或 192.*),但有关安全性的影响似乎很危险。另外,火车公司提供的页面将是http://virginrailwifisignup页面而不是http://192.168.1.1
在这一点上,我们被难住了。现在熟悉的喊声在办公室响起“我们不能是唯一遇到这个问题的人”,但我一直找不到任何人提到过有用的解决方案。
所以我问你,Server Fault,你是如何解决这个问题的?
值得注意的是,我们为所有移动用户提供 3G 连接,以便他们在外出时使用 VPN 连接,但在火车上却很糟糕。
我刚刚注意到我们的一个客户端 SQL 服务器正在与 time.microsoft.com 同步,域的其余部分正在查看 ntp.[clients.domain].co.uk,所以我们的 SQL 服务器大约快 3 分钟.
我的论点是,我们需要在两台服务器上同时停止所有 SQL 服务,将时间服务更新到域一,然后在不少于 3 分钟后重新启动所有 SQL 服务,以避免重复时间戳数据库。
我的另一个论点是“继续吧,我相信一切都会好起来的”。
我在这里过分谨慎了吗?我不是 SQL 管理员,实际上客户端 SQL 服务器托管着各种第三方数据库,因此从他们那里获得可靠的答案可能需要一些时间。不幸的是,由于数据库条目不再与电话系统相关联,因此这会导致呼叫中心的报告中断,因此我从呼叫中心经理和她的老板那里得到了热情。
我意识到这可能是“这完全取决于您使用的数据库的性质”的情况,但如果是这样,只是一些友好的建议?
谢谢,帕特里克
我已经在一所学校实施了一个新的组策略基础结构。在下周上线之前,我正处于整理的最后阶段,但有一件事让我陷入困境。
正如预期的那样,我已经将学生排除在大多数有趣的事情之外,但是当他们尝试做一些我限制的事情(WIN+R)时,他们会收到弹出消息:
"This operation has been cancelled due to restrictions in effect on this computer. Please contact your system administrator"
这是预期的行为,因为我已经限制了操作。
但是,我希望它只是默默地不做任何事情,而不是弹出它(我可以想象孩子们会虐待的相关烦人的哔哔声)。
所有客户端机器都在 Windows 7 上,DC 是 2008 R2。域功能级别是啊哈的Windows 2000(这是待办事项清单上,你说什么之前)。
关于如何抑制此警告的任何想法?
group-policy ×2
windows-7 ×2
activesync ×1
exchange ×1
ntp ×1
pci-dss ×1
security ×1
w32time ×1
wifi ×1