不知是否是域的缺点…

fukuei2003

也许是小弟学习不足~~
只是对于以下几个状况，在域的管理上，想要了解一下…

１.若一个公司使用域，其使用者帐号以员工编号决定，且运用了密码连续输入几次后锁定帐号
若某人有心玩死某个帐号，是否某人可以想办法使用不同的电脑，用某个帐号玩到它一直被lock？
就算有开audit也要花费一番功夫才能找出元凶？

2.使用域帐号，代表此帐号在该公司每台计算机都可以登入，若某电脑对于documents and settings夹以外的夹，
权限设定没有注意，亦不知怎样开audit，是否代表某人可以用他自己的域帐号，开启不属于自己的计算机，
看到计算机主人没有自己做好保护的文档？

小小问题　
也许外行了点，不过还是想好奇一下～～^_^

winsyk

当然这是肯定可以的,
域内的计算机就相当与在一个屋子里一样他们互相连接的.如果你拿到了域的
管理员帐号密码肯定等于控制了这个域,就有执行这个域的任何动作的权限~

a龙

1.这个问题避免不了;  
   当然你可以不打开帐号锁定的功能,只是记录失败的登录;也可以限制帐号登录的计算机;

2.如果完全使用AD模式,所有个人帐号的相关信息都在服务器上(当然客户机上有缓存),即使登录了一台计算机,也只能看到自己帐号的信息.看不到其它人的信息.  同时按照一般设置,这台电脑上应该除了系统和软件,什么也没有.

      另外建议使用无盘XP做AD客户端,就不怕捣乱了.

Avenue_zhang

1：楼上已经解释的很清楚了。不做过多解释。
2:如果你很在意这个问题的话，那么你可以设置特定的AD帐号只能登录特定的计算机，比如A用户只能登录PC1，其他的AD里面的电脑都是不能登录的。这个问题就可以这么简单的解决，不过楼上的兄弟说的也很对，在一个管理正规的AD里面，客户端是不应该存放什么数据的。

一条大虫

建议在AD中设置特定的帐号，让某人只访问某一特定的计算机

fukuei2003

嗯~~-谢谢各位大虾的回应啊~
在下会试试地~~
不过目前环境是过渡阶段
也就是说 才从workgroup开始转变为AD环境
因此要达到正规 还要不少时间来的
也要看上头的政策…可能目前还是不会使用thin client吧…
未来也不见得被被采用

总之 感谢各位高手噜