使用组策略配置注册表安全
开启远程桌面后,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections值修改为0,允许远程链接。禁用远程桌面后该值修改为1,禁止远程链接。
因此,通过该注册表安全,可以控制哪些用户能够启用远程桌面或禁用远程桌面。
你打算只允许域管理员Domain Admins组的成员能够管理域中计算机的远程桌面的启用与禁用。
任务:
u 使用组策略控制域中计算机Terminal Server注册表的安全
u 只允许Domain Admins组能够对域中计算机Terminal Server注册表有完全控制权
u 验证设置
步骤:
1. 如图3-227所示,在DCServer上,以域管理员登录,打开组策略管理工具,右击市场部组织单元链接的组策略“marketGPO”,点击“编辑”。
2. 如图3-228所示,在出现的组策略管理编辑器对话框,右击“计算机配置”à“策略”à“Windows设置”à“安全设置”à“注册表”,点击“添加项”。
图 3-227 编辑组策略 图 3-228 添加项
3. 如图3-229所示,点中machine\system\currentControlSet\Control\Terminal Server点击“确定”。
4. 如图3-230所示,在出现的数据库安全设置,可以看到默认的安全设置,删除“Creator Owner”和“System”以及“administrators”。
图 3-229 选择注册表键 图 3-230 设置安全
5. 如图3-231所示,点击“添加”,授权“Domain Admins”完全控制。
6. 如图3-232所示,授权users读取权限,点击“确定”。
图 3-231 编辑安全设置 图 3-232 编辑安全设置
7. 如图3-233所示,在出现的添加对象,选则“配置这个项,然后”,选中“将继承权限传播到所有子项”,点击“确定”。
8. 如图3-234所示,设置完成后,可以看到组策略设置的注册表安全。
图 3-233 设置继承性 图 3-234 添加的注册表项
9. 如图3-235所示,在marketPC1上,以本地管理员登录。
10. 如图3-236所示,点击“开始”à“运行”,输入gpupdate /force点击“确定”,刷新组策略。
图 3-235 本地管理员登录 图 3-236 刷新组策略
11. 如图3-237所示,右击“我的电脑”,点击“属性”。
12. 如图3-238所示,出现的系统属性对话框,点中“远程”标签,出现对话框提示:由于您没有足够的权限来访问这些控件,这个属性页上的控件已被停用,点击“确定”。
图 3-237 打开系统属性 图 3-238 提示没有权限
13. 如图3-239所示,可以看到“允许用户远程链接到此计算机”是灰色的,说明“本地管理员也不能启用远程桌面”。
14. 如图3-240所示,使用域管理员登录。
图 3-239 不能更改 图 3-240 域管理员登录
15. 如图3-241所示,登录后,右击“我的电脑”,点击“属性”。在出现的系统属性对话框,在远程标签下,可以看到“允许用户远程链接到此计算机”可以被选中,点击“确定”。说明域管理员有权启用远程桌面。
图 3-241 有权限启用远程桌面
本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1134000,如需转载请自行联系原作者