Project完成后记-阿里云开发者社区

Project完成后记

2017-11-15 1074

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介：

本文出自Simmy的个人blog：西米在线 http://simmyonline.com/archives/212.html

上周Boss forward了一份Global Project给我跟Tom跟，要求是在SZ做test确保这份GPO在local的应用是没问题的，顺便查查看哪里出问题，哪些地方需要修改。看来Boss也认为我是个搞技术的人，可以发挥点作用。呵呵，难得有project跟，我当然是全力以赴，做到最好啦。

自从去年考完MCSE后，我的知识就一直荒废着，没有用武之地，这次看来可以用上一点了。

这个project最主要是要求删去user的administrator的权限，由于公司文化及历史原因，以前用户都具有admin的权限，这样导致用户电脑出问题的几率大增，此次的GPO设计，限制也不是非常多，看来boss们不想限制的太死。

Boss给的deadline是今天，刚才终于完成测试，给Boss发了report。

在这过程中，自己也学到了不少，也巩固了不少知识。

小结一下：

1. Computer 下之GPO要Link给Computer而不是user才能生效。

2.Computer，只要是入域的会被server自动发现，然后存在AD的computer folder下。

3.GPO的link status 要为link时才会生效。

4.NT AUTHORITY\INTERACTIVE 会自动交互权限，使user自动具有admin权限。

5.Remove Local Administrator GPO

Computer Configuration (Enabled)
Windows Settings
Security Settings
Restricted Groups
Group Members Member of
BUILTIN\Administrators, test\Domain Admins, test\Administrator, Administrator

即使是有interative帐户admin也会被清除

6.Computer Configuration (Enabled)

Windows Settings
Security Settings

File System
%AllUsersProfile%\Desktop

在这个位置可对允许执行程序的文件夹进行设定。

做测试的有用的命令：

1.gpupdate /force server及client端执行，update GPO

2.rsop.msc client端检验GPO是否生效

MS的东西有时不能按逻辑分析，reboot就是了。

本文转simmy51CTO博客，原文链接：http://blog.51cto.com/helpdesk/149304 ，如需转载请自行联系原作者

Project完成后记

热门文章

最新文章

相关电子书