1. 程式人生 > >AD域用戶加入本地管理員後限制退域-Win2008/2012

AD域用戶加入本地管理員後限制退域-Win2008/2012

限制 運行 ad域 應用程序 microsoft mic 單元 開始 移除

修改組策略:在用戶配置 > 管理模板 > 桌面 > 把“從‘我的電腦’上下文菜單中移除屬性選項”設置為“啟用”即可,這樣用戶右鍵點擊我的電腦,屬性這一欄會消失,並且在控制面板,系統界面中,用戶點擊“高級系統設置”或者在計算機名處點擊“更改設置”也不會有任何反映。

這樣做其實不是非常保險,大家要知道,上面的策略只是針對域用戶,如果擁有本地管理員權限的域用戶創建了一個本地管理員帳號,然後再用這個本地管理員帳號登陸計算機呢,那麽退出域還是可以操作。

繼續修改組策略:

一、用戶配置 > 策略 > 管理模板 > Windows 組件 >Microsoft 管理控制臺> 受限的/許可的管理單元/擴展管理單元,找到本地用戶和組,配置為已禁用。

二、用戶配置 >策略 > 管理模板>控制面板,將隱藏指定的“控制面板”項設置為已啟用,在不允許的“控制面板”項的列表裏添加Microsoft.UserAccounts,這是Win7在控制面板裏顯示管理用戶賬戶的項目。

三、用戶配置 >策略 > 管理模板 > 系統 ,將不要運行指定的 Windows 應用程序設置為已啟用,在不允許運行的應用程序列表裏添加Netplwiz.exe,這個是開始運行調出用戶帳戶的程序,繼續在不允許運行的應用程序列表裏添加powershell.exe,防止用戶在powershell下添加用戶。用戶配置 >策略 > 管理模板 > 系統,將阻止訪問命令提示符設置為已啟用,在下方選項中將“是否也要禁用命令提示行腳本處理”設置為是。(這種方法存在漏洞,原理是檢測程序名,如果用戶將程序改名,就可以運行了之後再介紹如何利用哈希規則限制運行某些程序)

經過上面的三步之後,域用戶即便擁有本地管理員權限也無處添加本地管理員帳號了,更嚴謹變態的作法就是客戶機還應開啟BIOS密碼,並且配置本地硬盤為第一啟動項,以防止用戶在PE環境下開啟本地administrator帳號(Win7以上系統在加入域後會默認將administrator帳號禁用)

AD域用戶加入本地管理員後限制退域-Win2008/2012