Windows 2008 R2 AD系列二:域用户加入本地管理员后 限制退出域
2015-10-26 01:21
330 查看
在系列一中,我们把域用户加入了本地管理员,那么如何限制域用户自行退出域呢?
方法还是修改组策略:在用户配置 > 管理模板 > 桌面 > 把“从‘我的电脑’上下文菜单中移除属性选项”设置为“启用”即可,这样用户右键点击我的电脑,属性这一栏会消失,并且在控制面板,系统界面中,用户点击“高级系统设置”或者在计算机名处点击“更改设置”也不会有任何反映。
这样做其实不是非常保险,大家要知道,上面的策略只是针对域用户,如果拥有本地管理员权限的域用户创建了一个本地管理员帐号,然后再用这个本地管理员帐号登陆计算机呢,那么退出域还是可以操作。
继续修改组策略:
一、用户配置 > 策略 > 管理模板 > Windows 组件 >Microsoft 管理控制台> 受限的/许可的管理单元/扩展管理单元,找到本地用户和组,配置为已禁用。
二、用户配置 >策略 > 管理模板>控制面板,将隐藏指定的“控制面板”项设置为已启用,在不允许的“控制面板”项的列表里添加Microsoft.UserAccounts,这是Win7在控制面板里显示管理用户账户的项目。
三、用户配置 >策略 > 管理模板 > 系统 ,将不要运行指定的 Windows 应用程序设置为已启用,在不允许运行的应用程序列表里添加Netplwiz.exe,这个是开始运行调出用户帐户的程序,继续在不允许运行的应用程序列表里添加powershell.exe,防止用户在powershell下添加用户。用户配置 >策略 > 管理模板 > 系统,将阻止访问命令提示符设置为已启用,在下方选项中将“是否也要禁用命令提示行脚本处理”设置为是。(这种方法存在漏洞,原理是检测程序名,如果用户将程序改名,就可以运行了,下一篇文章我将介绍如何利用哈希规则限制运行某些程序)
经过上面的三步之后,域用户即便拥有本地管理员权限也无处添加本地管理员帐号了,更严谨变态的作法是还应修改本地administrator帐号密码(通过组策略),并且开启BIOS密码,配置本地硬盘为第一启动项,防止客户机在PE环境下重置本地administrator帐号密码。
方法还是修改组策略:在用户配置 > 管理模板 > 桌面 > 把“从‘我的电脑’上下文菜单中移除属性选项”设置为“启用”即可,这样用户右键点击我的电脑,属性这一栏会消失,并且在控制面板,系统界面中,用户点击“高级系统设置”或者在计算机名处点击“更改设置”也不会有任何反映。
这样做其实不是非常保险,大家要知道,上面的策略只是针对域用户,如果拥有本地管理员权限的域用户创建了一个本地管理员帐号,然后再用这个本地管理员帐号登陆计算机呢,那么退出域还是可以操作。
继续修改组策略:
一、用户配置 > 策略 > 管理模板 > Windows 组件 >Microsoft 管理控制台> 受限的/许可的管理单元/扩展管理单元,找到本地用户和组,配置为已禁用。
二、用户配置 >策略 > 管理模板>控制面板,将隐藏指定的“控制面板”项设置为已启用,在不允许的“控制面板”项的列表里添加Microsoft.UserAccounts,这是Win7在控制面板里显示管理用户账户的项目。
三、用户配置 >策略 > 管理模板 > 系统 ,将不要运行指定的 Windows 应用程序设置为已启用,在不允许运行的应用程序列表里添加Netplwiz.exe,这个是开始运行调出用户帐户的程序,继续在不允许运行的应用程序列表里添加powershell.exe,防止用户在powershell下添加用户。用户配置 >策略 > 管理模板 > 系统,将阻止访问命令提示符设置为已启用,在下方选项中将“是否也要禁用命令提示行脚本处理”设置为是。(这种方法存在漏洞,原理是检测程序名,如果用户将程序改名,就可以运行了,下一篇文章我将介绍如何利用哈希规则限制运行某些程序)
经过上面的三步之后,域用户即便拥有本地管理员权限也无处添加本地管理员帐号了,更严谨变态的作法是还应修改本地administrator帐号密码(通过组策略),并且开启BIOS密码,配置本地硬盘为第一启动项,防止客户机在PE环境下重置本地administrator帐号密码。
相关文章推荐
- 利用BAT脚本加入域和退出域的代码
- C#禁止textbox复制、粘贴、剪切及鼠标右键的方法
- 网页禁止鼠标左右键功能的简单代码
- jQuery实现提交按钮点击后变成正在处理字样并禁止点击的方法
- 如何禁止浏览器使用后退按钮功能
- win2003禁止远程登录的设置方法(图文)
- PHP禁止页面缓存的代码
- 禁止按回车键提交表单的方法
- 在(ASP/PHP/JSP/html/js)中禁止ajax缓存的方法集锦
- 完美实现wordpress禁止文章修订和自动保存的方法
- php禁止直接从浏览器输入地址访问.php文件的方法
- php禁止某ip或ip地址段访问的方法
- js禁止页面刷新与后退的方法
- apache禁止搜索引擎收录、网络爬虫采集的配置方法
- 禁止IP访问网站的多种方法分享(linux,php,nginx,apache)
- 域内禁止上某个网站的方法(wpkg.org)
- Nginx中禁止使用IP访问网站的配置实例
- Nginx限制搜索引擎爬虫频率、禁止屏蔽网络爬虫配置示例
- 禁止刷新网页,禁止后退等操作的JS代码
- 禁止WinXP文件夹自动展开