各位前辈大佬

小弟目前接手公司AD,之前公司版本是2012版,后来选择升级改版成2022,顺便想调整一下群组的权限设定

之前工程部门为了工作环境,所以是全部都放在administrator群组里面,但后续觉得给到最高权限可能会有风险决定把会用到的软件加到白名单里,把工程部门的ad权限拔掉,让他们用一般的domain users也可以进行软件更新,这个做法应该是可行的吧?

我后续有去google看到app locker功能,但我自己测试过gpo没什么作用,软件还是被系统管理员锁住,想询问一下有什么办法解决?

1 个回答

0

Gary

iT邦好手 1 级 ‧ 2025-02-12 12:05:37

你的做法正常应该要可以,可通过限制IT部门权限加入到一般 Domain Users Group,利用白名单授权特定软体的更新权限,来降低高权帐号使用。

  1. AppLocker如果GPO设定没生效,可以透过以下方式检查:
  2. 检查是否在正确GPO内设定AppLocker,并且GPO已被正确连接到目标OU。
  3. GPO优先问题,如果有多个GPO被套用,可能会有优先问题,可检查GPO确保没有被其他GPO覆盖。
  4. AppLocker配置範围需指定在:执行"限制应用程式範围。需要检查设定中的白名单清单,确保工程部门需使用的应用程式有被正确加入白名单。
  5. AppLocker设定需要高权,在DC上执行GPO设定,且确保有足够管理权限修改这些设定。

如上述步骤仍无法解决,建议重新检查GPO设定,确保所选的应用範围和条件是正确的。也可考虑将 AppLocker和其他安全控制如User Rights Assignment整合使用。