V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
hanzichi
V2EX  ›  问与答

公司将电脑加域了有什么 "危险"?

  •  
  •   hanzichi · 2016-11-18 13:37:03 +08:00 · 45479 次点击
    这是一个创建于 2945 天前的主题,其中的信息可能已经有所发展或是发生改变。
    是不是能查看我电脑上的所有文件了?

    能监控我的信息?比如我现在正在灌水 ...

    没隐私了?
    第 1 条附言  ·  2016-11-19 13:09:55 +08:00
    总结一下,加了域的公司电脑, IT 如果想要知道你在电脑上的任何行踪( QQ 记录,私人邮件,文件, etc ),都是有办法查到的,不过一般公司也不会去这么干,总之公司的电脑还是少干甚至不干私事为好
    第 2 条附言  ·  2016-11-19 13:14:29 +08:00
    嗯,要「职业」点,受教了
    82 条回复    2016-11-20 13:25:35 +08:00
    murmur
        1
    murmur  
       2016-11-18 13:44:04 +08:00   ❤️ 1
    什么分发补丁 安装软件都是自动的 挺好 那一套东西
    本来就是办公电脑你怕什么
    watzds
        2
    watzds  
       2016-11-18 13:44:21 +08:00 via Android   ❤️ 1
    😃没其他监控软件吗?那还好吧。我第一个公司也加域,不过我自己装了 linux ,没有用那个 windows 。
    好像可以通过域下发程序执行。

    第二个还装了监控软件,各种监控,还能远程桌面到本机。还网络限制,不过我已实现全网通,不知道会不会有人管。
    hanzichi
        3
    hanzichi  
    OP
       2016-11-18 13:46:44 +08:00
    @murmur 软件都是自己装的,也没分发过布丁什么 ..
    hanzichi
        4
    hanzichi  
    OP
       2016-11-18 13:47:38 +08:00
    @watzds 不大懂,就 IT 人员过来搞了两个,说是加域,不知道具体用来干嘛的

    比较关心隐私是否会泄露 ...
    murmur
        5
    murmur  
       2016-11-18 13:50:34 +08:00   ❤️ 1
    @hanzichi 分发的不一定是补丁,可能是策略,比如管理员可以把所有内网办公网站全+白名单,我们内网登录 OA 就是用 active-x 直接读网卡 mac 地址,然后 mac 地址绑定了 ip 和本人,也等于实名了,而访问 activex 因为是白名单所以也不需要确认
    zjgsamuel
        6
    zjgsamuel  
       2016-11-18 13:52:18 +08:00   ❤️ 1
    单位加域是正常做法,单位的电脑还是老实一点 IT 想要监控你 还是有办法的,大不了用自己的电脑干其他事情~
    hanzichi
        7
    hanzichi  
    OP
       2016-11-18 13:59:05 +08:00
    @zjgsamuel 这么危险 ... 还是老实点少灌水吧 ...
    rangerxo
        8
    rangerxo  
       2016-11-18 14:01:45 +08:00   ❤️ 1
    文件 操作 甚至网址记录、邮件内容、聊天记录,只要想查都可以查得到
    hanzichi
        9
    hanzichi  
    OP
       2016-11-18 14:03:55 +08:00
    @rangerxo 私人的 QQ 聊天记录,或者私人邮箱,也能查?
    murmur
        10
    murmur  
       2016-11-18 14:05:46 +08:00   ❤️ 1
    @hanzichi 只要给你下发一个监控软件就可以了,当然一般公司不会管这些,如果管了基本满足以下几点:
    ( 1 )你访问招聘网站( 2 )访问黄色或者反动网站( 3 )你被举报了。。
    bellchu
        11
    bellchu  
       2016-11-18 14:07:28 +08:00   ❤️ 2
    我这里,每天晚上都会有一个汇总报告发给我的 team 。 Websense 和 AD 结合,全球所有办公室几千号人谁上黄色网站最多,谁上 FB 和推最多,谁购物最多,一目了然。

    INTAPP 每天会发给每个员工一个报表,你今天发邮件发给谁发了多少时间什么主题,上网看了什么网页上了多久,电话打给什么号码打了多久,都有记录。

    不要在公司电脑上做任何私人的事情。
    hanzichi
        12
    hanzichi  
    OP
       2016-11-18 14:08:18 +08:00
    @murmur 话说,加域的电脑,不在公司的网络,也能有效吗?
    9hills
        13
    9hills  
       2016-11-18 14:09:23 +08:00   ❤️ 1
    加域后,域管理员可以在你不知情的情况下给你塞软件,塞证书。所以基本上是想监控你什么都可以
    TheCure
        14
    TheCure  
       2016-11-18 14:10:20 +08:00   ❤️ 1
    就拿到了你电脑的 root
    murmur
        15
    murmur  
       2016-11-18 14:10:51 +08:00
    @hanzichi 不在公司的网络加域就没意义了 一般都是台式机才加 笔记本有另外的准入控制
    hanzichi
        16
    hanzichi  
    OP
       2016-11-18 14:12:58 +08:00
    @bellchu 卧槽,不知道还好,知道了细思极恐阿 ...
    21grams
        17
    21grams  
       2016-11-18 14:13:06 +08:00
    域管理员是你 administrators 组的成员,所以对你的电脑有完全控制权限。
    kuretru
        18
    kuretru  
       2016-11-18 14:13:47 +08:00 via iPhone
    你登录的用户是域用户还是自己本机的用户,另外域控制器可以配置策略,让你电脑信任他们自己签的 CA
    hanzichi
        19
    hanzichi  
    OP
       2016-11-18 14:14:10 +08:00
    @murmur 就是笔记本,多机不方便,平时基本自己的电脑都不用了,细思极恐 ...
    bellchu
        20
    bellchu  
       2016-11-18 14:17:48 +08:00
    @hanzichi 没必要恐啥,办公就是办公,别和私人的东西混淆就行。

    bellchu
        21
    bellchu  
       2016-11-18 14:19:15 +08:00
    这无关笔记本台式机还是手机或者其他设备,只要是域管理的账户和设备都是有管理权的。
    v9ox
        22
    v9ox  
       2016-11-18 14:21:43 +08:00
    所以还是自己搭一个 VPN 靠谱
    hanzichi
        23
    hanzichi  
    OP
       2016-11-18 14:22:47 +08:00
    @bellchu QQ 这样的聊天记录也都能获取吗?
    smallfount
        24
    smallfount  
       2016-11-18 14:29:20 +08:00   ❤️ 1
    本来就是公司电脑, 公司资产,所以上面的一切的所有权都.....
    至于加域, 如果仅仅只是加域,那么大部分时候只是为了方便管理。
    至于要查你的行为记录, 只要从 GPO 或者 SCCM 下发监控用的 agent 就跟实现了。。。这就看每个公司的策略跟管理深度了。。。至少我知道这么干的还是少数.....
    至于隐私神马的, 工作电脑你谈啥隐私啊。。
    crazycen
        25
    crazycen  
       2016-11-18 14:29:46 +08:00 via iPhone
    看来楼主公司不大呀!
    bellchu
        26
    bellchu  
       2016-11-18 14:31:08 +08:00   ❤️ 1
    @hanzichi 你这么担心的话你就别用了呗。

    我就这么说吧:哪天你不在办公室,电脑又在办公室,我又对你电脑商的东西感兴趣,我就直接在域控服务器上把你的用户名密码改掉,登陆你的电脑。万一你 QQ 什么的设置成自动登陆的么你自己想吧。
    ajsky
        27
    ajsky  
       2016-11-18 14:36:34 +08:00
    @bellchu 请问这是个什么管理软件 感觉好高级
    hanzichi
        28
    hanzichi  
    OP
       2016-11-18 14:38:13 +08:00
    @bellchu 卧槽,这么屌,我也要当 IT 人员,满足偷窥欲
    SpicyCat
        29
    SpicyCat  
       2016-11-18 14:39:34 +08:00   ❤️ 1
    办公电脑,哪有什么隐私。要是有什么东西不方便给别人看,就别放公司电脑。
    bellchu
        30
    bellchu  
       2016-11-18 14:58:33 +08:00
    @ajsky 截图里不是都有了么 INTAPP , 还有 VewInfinity ,用来管理限制环境里的软件,什么能装什么不能装都要经过授权。

    @hanzichi Windows Server 管理环境默认的权限非常宽松(不安全),你不需要是 IT 人员,大多数默认的域环境都可以直接远程 Copy 别人电脑上的文件。
    bellchu
        31
    bellchu  
       2016-11-18 15:00:56 +08:00
    @ajsky CyberArk Viewfinity
    leefly
        32
    leefly  
       2016-11-18 15:09:13 +08:00 via iPhone
    @murmur MAC 呢😳
    murmur
        33
    murmur  
       2016-11-18 15:12:58 +08:00
    @leefly 我们公司有个 mac ,可能是大家都用 windows 没什么*nix 的经验,已经放弃加域改用无线网了
    Ouyangan
        34
    Ouyangan  
       2016-11-18 15:17:51 +08:00
    前段时间集团 it 跑到我们这说要加域.... 我们这边开发都没同意 ,这还了得
    Devin
        35
    Devin  
       2016-11-18 15:39:46 +08:00 via iPhone
    @crazycen 非 IT 类大公司加域再正常不过
    dexterzzz
        36
    dexterzzz  
       2016-11-18 16:43:47 +08:00
    要装深信服才能上网
    FlowMEMO
        37
    FlowMEMO  
       2016-11-18 17:28:22 +08:00
    那密码什么的也会泄露了?
    Salo
        38
    Salo  
       2016-11-18 17:30:07 +08:00   ❤️ 1
    能够看到你访问了什么网页,停留多长时间,发送得 QQ 信息,基本上你电脑上网络所有 操作都能够监控到吧
    hanzichi
        39
    hanzichi  
    OP
       2016-11-18 17:32:16 +08:00
    @FlowMEMO 听楼上的说法,应该会 ...
    myid
        40
    myid  
       2016-11-18 17:45:05 +08:00
    @hanzichi 有效的。
    myid
        41
    myid  
       2016-11-18 17:45:45 +08:00   ❤️ 1
    @hanzichi 不在公司网络也有效
    myid
        42
    myid  
       2016-11-18 17:48:28 +08:00
    @hanzichi QQ 聊天记录?当然能截获。
    myid
        43
    myid  
       2016-11-18 17:50:13 +08:00
    @hanzichi 能查。数据包必然走网络的,不是吗?不然为什么思科华为等网络设备商,微软 IBM 等系统软件商,赛门铁克趋势等信息安全厂商活得这么滋润?
    myid
        44
    myid  
       2016-11-18 17:53:52 +08:00
    @FlowMEMO 会的。不然 IT 这行为什么需要那么多网络工程师、信息安全工程师等职业呢?更别提 hacker 了。
    myid
        45
    myid  
       2016-11-18 17:57:22 +08:00
    @callofmx AD 域里没有 root 这个角色。 Windows 和 Linux/Unix 不同--权限设计上复杂多了。
    myid
        46
    myid  
       2016-11-18 17:58:14 +08:00
    @Ouyangan 贵部门可以自己设立一个域,和集团 IT 的分开。:-)
    Ouyangan
        47
    Ouyangan  
       2016-11-18 19:01:11 +08:00
    @myid 主要使我们总监狂放不羁爱自由 , 一挥手说我们不加域....
    yan5990853
        48
    yan5990853  
       2016-11-18 19:06:13 +08:00 via Android   ❤️ 1
    做 IT 的我,不会在公司干私事,虽然那些监控的玩意是我管着的。大部分公司不会对行为进行审计。
    jhaohai
        49
    jhaohai  
       2016-11-18 19:46:17 +08:00 via iPhone
    公司的电脑谈啥隐私
    crazycen
        50
    crazycen  
       2016-11-18 20:06:08 +08:00
    @Devin 貌似你把意思理解反了!
    napsterwu
        51
    napsterwu  
       2016-11-18 20:08:47 +08:00
    公司内外网分离啊 所以除了用来写代码也没什么别的好干 外网电脑没有限制
    p1llar
        52
    p1llar  
       2016-11-18 20:11:47 +08:00 via iPhone
    想知道 https 也能被监控吗
    hanzichi
        53
    hanzichi  
    OP
       2016-11-18 21:12:52 +08:00
    @yan5990853 那加域主要是干嘛 ...
    hanzichi
        54
    hanzichi  
    OP
       2016-11-18 21:13:48 +08:00
    @jhaohai 公司电脑也要上淘宝,来 v 站灌水阿。。
    yan5990853
        55
    yan5990853  
       2016-11-18 21:23:39 +08:00 via Android
    @hanzichi 只要是方便管理,并不是用来监控员工的。另外可以和其他系统进行协作,反正对 it 部门来说算是好东西。
    zmj1316
        56
    zmj1316  
       2016-11-18 21:34:40 +08:00
    @crazycen 为什么加域能够看出公司不大...我自认为在一个大公司,也是要求加域的,管理员会安排系统更新,内网的很多访问权限也和域有关系
    crazycen
        57
    crazycen  
       2016-11-18 22:24:02 +08:00
    @zmj1316 大哥你理解反了我的意思。我的意思是大公司都是加域的呀!
    crazycen
        58
    crazycen  
       2016-11-18 22:24:51 +08:00
    @zmj1316 另我是做这行。。。
    bayernmunchen
        59
    bayernmunchen  
       2016-11-18 22:53:01 +08:00 via Android
    不懂加域
    Arnie97
        60
    Arnie97  
       2016-11-18 23:40:16 +08:00 via Android
    域管理员相当于有域内所有机器的 Administrator 权限,看个文件岂不是小菜一碟。所以入侵者一般也会以拿 DC 为目标
    snnn
        61
    snnn  
       2016-11-18 23:43:58 +08:00
    妈呀,我家我电脑加了公司的域,这咋办?我以后还能不能上 zhihu 灌水了!!!
    billlee
        62
    billlee  
       2016-11-19 00:46:27 +08:00
    @p1llar 可以,域管理员可以直接在你的电脑上装程序监控,不需要在网络上监听。
    zwpaper
        63
    zwpaper  
       2016-11-19 00:49:50 +08:00 via iPhone
    @crazycen 能否打听一下, mac 加域了也是一样监控吗?有同事说 mac 加域了也不会完全被监控
    SoloCompany
        64
    SoloCompany  
       2016-11-19 03:56:37 +08:00
    加入域 ≠ 授权给域
    只要你还有自己机器的管理权限
    可以选择保持登录到域(便于访问域内资源)的同时,在本机的 Administrators 分组里面,把 Domain Admins 分组删除

    当然,公司规定不允许删除,或者甚至个人不拥有自己电脑的管理权限(这太蛋疼了)除外
    fool
        65
    fool  
       2016-11-19 08:19:57 +08:00
    @SoloCompany

    不是的,只要加了域,就由不得你了(可以做策略限制你的 administrator )

    Domain admin > Local Administrator
    GKLuke
        66
    GKLuke  
       2016-11-19 08:56:47 +08:00   ❤️ 1
    加域主要是为了方便管理,域管理员派发补丁软件什么的。办公电脑要什么隐私?办公时间淘宝水论坛?哪怕不加域,在网络层面也都是查的到的,哪个 ip 上什么网站最多,公司要监管你,办法还是很多的。
    crazycen
        67
    crazycen  
       2016-11-19 09:11:26 +08:00 via iPhone   ❤️ 1
    @zwpaper 域的主要功能是方便管理,监控的话,一般使用第三方的解决方案。想监控员工,花点钱,不难的!
    ixinshang
        68
    ixinshang  
       2016-11-19 10:40:23 +08:00 via Android
    拿到公司的笔记本,就重装了系统。 这么一说,计划买个硬盘,把笔记本硬盘换了! 感觉完全把公司的本子当自己的在用了😂😂
    hanzichi
        69
    hanzichi  
    OP
       2016-11-19 11:20:02 +08:00
    @GKLuke 额,办公时间也会上 v 站 ...
    hanzichi
        70
    hanzichi  
    OP
       2016-11-19 11:20:34 +08:00
    @ixinshang 同 ... 自己电脑都一年没开了 ...
    hanzichi
        71
    hanzichi  
    OP
       2016-11-19 11:39:27 +08:00
    @ixinshang 换硬盘有毛用?
    quericy
        72
    quericy  
       2016-11-19 12:42:15 +08:00   ❤️ 1
    配置够高的话,办公电脑里开一个虚拟机,然后虚拟机拨 VPN.

    不过假如域管分发了什么窥屏和记录键盘的东西的话,还是能看到的...虽然一般不会有这样的吧,又不是月饼厂(雾~~
    hanzichi
        73
    hanzichi  
    OP
       2016-11-19 12:44:29 +08:00
    @quericy 我还是相信不会这样吧,要是这样估计我早被开了
    hjc4869
        74
    hjc4869  
       2016-11-19 12:47:04 +08:00   ❤️ 1
    公司电脑本来就该公司管,有什么不想让公司知道的事情,用自己的笔记本,自己的 LTE 网,不就行了吗……
    hanzichi
        75
    hanzichi  
    OP
       2016-11-19 12:49:25 +08:00
    @hjc4869 嗯 职场经验不足,吸取教训了
    hanzichi
        76
    hanzichi  
    OP
       2016-11-19 12:49:36 +08:00
    @hjc4869 以后得职业点了
    xvx
        77
    xvx  
       2016-11-19 12:55:47 +08:00 via iPhone
    公司加域,经常上 V 站和招聘网,有时也上上知乎领英,游戏网站也去过(触发网络限制提示),看来我很危险啊!
    maemo
        78
    maemo  
       2016-11-19 12:57:27 +08:00
    我想问一下各位, ubuntu ,有 root 权限,上外网用 ss ,也能被监视吗,虽然我只是为了上 google
    ixinshang
        79
    ixinshang  
       2016-11-19 17:12:38 +08:00 via Android
    @hanzichi 我要留下我的资料
    wgf2008
        80
    wgf2008  
       2016-11-19 22:35:35 +08:00 via iPhone
    卧槽,这下醉了,电脑上的东西全部删掉………
    hanzichi
        81
    hanzichi  
    OP
       2016-11-20 10:43:57 +08:00
    @wgf2008 兄弟别慌,我硬盘放了一年某国武打片 ...
    29EtwXn6t5wgM3fD
        82
    29EtwXn6t5wgM3fD  
       2016-11-20 13:25:35 +08:00 via Android
    @bellchu 直接与管理员登录就好了嘛
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2590 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 15:03 · PVG 23:03 · LAX 07:03 · JFK 10:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.