温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

AD域用户加入本地管理员后限制退域-Win2008/2012

发布时间:2020-04-05 00:42:22 来源:网络 阅读:3800 作者:kangl 栏目:系统运维

修改组策略:在用户配置 > 管理模板 > 桌面 > 把“从‘我的电脑’上下文菜单中移除属性选项”设置为“启用”即可,这样用户右键点击我的电脑,属性这一栏会消失,并且在控制面板,系统界面中,用户点击“高级系统设置”或者在计算机名处点击“更改设置”也不会有任何反映。

这样做其实不是非常保险,大家要知道,上面的策略只是针对域用户,如果拥有本地管理员权限的域用户创建了一个本地管理员帐号,然后再用这个本地管理员帐号登陆计算机呢,那么退出域还是可以操作。

继续修改组策略:

一、用户配置 > 策略 > 管理模板 > Windows 组件 >Microsoft 管理控制台> 受限的/许可的管理单元/扩展管理单元,找到本地用户和组,配置为已禁用。

二、用户配置 >策略 > 管理模板>控制面板,将隐藏指定的“控制面板”项设置为已启用,在不允许的“控制面板”项的列表里添加Microsoft.UserAccounts,这是Win7在控制面板里显示管理用户账户的项目。

三、用户配置 >策略 > 管理模板 > 系统 ,将不要运行指定的 Windows 应用程序设置为已启用,在不允许运行的应用程序列表里添加Netplwiz.exe,这个是开始运行调出用户帐户的程序,继续在不允许运行的应用程序列表里添加powershell.exe,防止用户在powershell下添加用户。用户配置 >策略 > 管理模板 > 系统,将阻止访问命令提示符设置为已启用,在下方选项中将“是否也要禁用命令提示行脚本处理”设置为是。(这种方法存在漏洞,原理是检测程序名,如果用户将程序改名,就可以运行了之后再介绍如何利用哈希规则限制运行某些程序)

经过上面的三步之后,域用户即便拥有本地管理员权限也无处添加本地管理员帐号了,更严谨变态的作法就是客户机还应开启BIOS密码,并且配置本地硬盘为第一启动项,以防止用户在PE环境下开启本地administrator帐号(Win7以上系统在加入域后会默认将administrator帐号禁用)

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI