Windows 2008 R2 AD系列二：域用戶加入本地管理員後 限制退出域

在系列一中，咱們把域用戶加入了本地管理員，那麼如何限制域用戶自行退出域呢？

 

方法仍是修改組策略：在用戶配置 > 管理模板 > 桌面 > 把「從‘個人電腦’上下文菜單中移除屬性選項」設置爲「啓用」便可，這樣用戶右鍵點擊個人電腦，屬性這一欄會消失，而且在控制面板，系統界面中，用戶點擊「高級系統設置」或者在計算機名處點擊「更改設置」也不會有任何反映。

 

這樣作其實不是很是保險，你們要知道，上面的策略只是針對域用戶，若是擁有本地管理員權限的域用戶建立了一個本地管理員賬號，而後再用這個本地管理員賬號登錄計算機呢，那麼退出域仍是能夠操做。

繼續修改組策略：

1、用戶配置 > 策略 > 管理模板 > Windows 組件 >Microsoft 管理控制檯> 受限的/許可的管理單元/擴展管理單元，找到本地用戶和組，配置爲已禁用。

2、用戶配置 >策略 > 管理模板>控制面板，將隱藏指定的「控制面板」項設置爲已啓用，在不容許的「控制面板」項的列表裏添加Microsoft.UserAccounts，這是Win7在控制面板裏顯示管理用戶帳戶的項目。

3、用戶配置 >策略 > 管理模板 > 系統 ，將不要運行指定的 Windows 應用程序設置爲已啓用，在不容許運行的應用程序列表裏添加Netplwiz.exe，這個是開始運行調出用戶賬戶的程序，繼續在不容許運行的應用程序列表裏添加powershell.exe，防止用戶在powershell下添加用戶。用戶配置 >策略 > 管理模板 > 系統，將阻止訪問命令提示符設置爲已啓用，在下方選項中將「是否也要禁用命令提示行腳本處理」設置爲是。（這種方法存在漏洞，原理是檢測程序名，若是用戶將程序更名，就能夠運行了，下一篇文章我將介紹如何利用哈希規則限制運行某些程序）

 

通過上面的三步以後，域用戶即使擁有本地管理員權限也無處添加本地管理員賬號了，更嚴謹變態的做法是還應修改本地administrator賬號密碼（經過組策略），而且開啓BIOS密碼，配置本地硬盤爲第一啓動項，防止客戶機在PE環境下重置本地administrator賬號密碼。