星空网 > 软件开发 > 操作系统

防止加入域主机脱离域的控制

一、简介

  当公司所有主机加入到域后,网管员首要工作就是防止加入域的主机脱离域的控制。让我发现该工作的必要性是一程序猿,前一天刚配完禁止执行QQ、微信执行,第二天就看到那家伙在用微信聊天,肯定是用回旧的本地账号登陆了。

  本人所在公司安装软件的类型繁杂,无管理员权限运行不少软件会报错,不得不授予「域账号」本地管理员权限。过大的权限带也来了一系列后果:用户可随意退出域、创建本地管理员账号。如此管理方式对于网管员来说也是个的挑战。

 

二、原理

  禁止访问用户和组的管理工具,用户找不到新建本地账号的工具;重命名管理员、删除所有本地账号,用户没有本地账号登陆;当用户使用命令行创建新账号时,由于默认配置文件没权限访问,所以被拒绝;隐藏退出域的窗口,用户找不到退出域的窗口;禁止修改IP,设置和DC不同网段的IP依旧可登录,但脱离了控制。

 

三、配置

1、新建域组策略“防止脱离域”

开始 —— 系统管理工具 —— 域组策略

防止加入域主机脱离域的控制images/loading.gif' data-original="http://images0.cnblogs.com/blog2015/779932/201508/081620124408955.png" />

防止加入域主机脱离域的控制

防止加入域主机脱离域的控制

防止加入域主机脱离域的控制

 

2、禁止访问用户和组的管理工具。防止新建本地账号

防止加入域主机脱离域的控制

防止加入域主机脱离域的控制

防止加入域主机脱离域的控制

 

3、重命名Administrator为root、删除所有本地账号。防止使用本地管理员登陆

删除本地账号方法:用域组策略发布查看用户的批处理,将信息发送到某台主机的共享文件夹下;统计好所有账号后,再发布删除用户的批处理。

防止加入域主机脱离域的控制

防止加入域主机脱离域的控制

 

发布批处理,账户登录后自动执行

防止加入域主机脱离域的控制

防止加入域主机脱离域的控制

 

统计账号、删除账号

net user>\\192.168.1.100\log\%username%.lognet user /del username

 

4、设置默认配置文件拒绝访问,新建用户不能登录

默认配置文件:每个新建的用户都会从默认模板“C:\Users\Default”下复制配置文件到“C:\Users\新用户”。

用域组策略发布脚本(方法同上),设置C:\Users\Default所有人都无权限

cacls %SYSTEMDRIVE%\Users\Default /e /c /p everyone:N

 

5、隐藏 「计算机—右键—属性」 与 「控制面板 — 系统」:防止用户退出域

防止加入域主机脱离域的控制

防止加入域主机脱离域的控制

防止加入域主机脱离域的控制

 

6、禁止修改IP,防止脱离域的控制

努力研究中...

服务器Windows Server 2012 + 客户端Win7,测试失败:http://www.cnblogs.com/sjy000/articles/4711233.html

 

7、刷新域组策略,配置立即生效

防止加入域主机脱离域的控制

 

四、测试

 




原标题:防止加入域主机脱离域的控制

关键词:

*特别声明:以上内容来自于网络收集,著作权属原作者所有,如有侵权,请联系我们: admin#shaoqun.com (#换成@)。

全球注册商标的费用详解:https://www.kjdsnews.com/a/1379788.html
全球商标评比哪些品牌最受欢迎?:https://www.kjdsnews.com/a/1379789.html
全球商标注册费用详解:https://www.kjdsnews.com/a/1379790.html
如何注册英国公司?需要什么材料?看这篇干货就够了!:https://www.kjdsnews.com/a/1379791.html
全球商标注册费用详细了解标准:https://www.kjdsnews.com/a/1379792.html
全球商标注册费用一次性攻略:https://www.kjdsnews.com/a/1379793.html
跨境支付百科——巴西支付篇:https://www.kjdsnews.com/a/1836648.html
大福地快捷酒店预订 大福酒店怎么走:https://www.vstour.cn/a/365187.html
相关文章
我的浏览记录
最新相关资讯
海外公司注册 | 跨境电商服务平台 | 深圳旅行社 | 东南亚物流