在系列一中,我们把域用户加入了本地管理员,那么如何限制域用户自行退出域呢?
方法还是修改组策略:在用户配置 > 管理模板 > 桌面 > 把“从‘我的电脑’上下文菜单中移除属性选项”设置为“启用”即可,这样用户右键点击我的电脑,属性这一栏会消失,并且在控制面板,系统界面中,用户点击“高级系统设置”或者在计算机名处点击“更改设置”也不会有任何反映。
这样做其实不是非常保险,大家要知道,上面的策略只是针对域用户,如果拥有本地管理员权限的域用户创建了一个本地管理员帐号,然后再用这个本地管理员帐号登陆计算机呢,那么退出域还是可以操作。
继续修改组策略:
一、用户配置 > 策略 > 管理模板 > Windows 组件 >Microsoft 管理控制台> 受限的/许可的管理单元/扩展管理单元,找到本地用户和组,配置为已禁用。
二、用户配置 >策略 > 管理模板>控制面板,将隐藏指定的“控制面板”项设置为已启用,在不允许的“控制面板”项的列表里添加Microsoft.UserAccounts,这是Win7在控制面板里显示管理用户账户的项目。
三、用户配置 >策略 > 管理模板 > 系统 ,将不要运行指定的 Windows 应用程序设置为已启用,在不允许运行的应用程序列表里添加Netplwiz.exe,这个是开始运行调出用户帐户的程序,继续在不允许运行的应用程序列表里添加powershell.exe,防止用户在powershell下添加用户。用户配置 >策略 > 管理模板 > 系统,将阻止访问命令提示符设置为已启用,在下方选项中将“是否也要禁用命令提示行脚本处理”设置为是。(这种方法存在漏洞,原理是检测程序名,如果用户将程序改名,就可以运行了,下一篇文章我将介绍如何利用哈希规则限制运行某些程序)
经过上面的三步之后,域用户即便拥有本地管理员权限也无处添加本地管理员帐号了,更严谨变态的作法是还应修改本地administrator帐号密码(通过组策略),并且开启BIOS密码,配置本地硬盘为第一启动项,防止客户机在PE环境下重置本地administrator帐号密码。
本文转自 kuSorZ 51CTO博客,原文链接:http://blog.51cto.com/kusorz/1706178
