禁止有管理员权限用户退出域
原创
©著作权归作者所有:来自51CTO博客作者shen_xu的原创作品,请联系作者获取转载授权,否则将追究法律责任
因为需要,用户都有本地机的管理员权限,有用户自己就把机器退出Windows域,干自己想干的事情,然后在来找你帮他加入域,因为已经限制普通用户把PC加入域。
现在主流的操作系统式XP和Windows7,退出域是在系统属性里面的计算机名项目的更改。当你的电脑在域内安装了域的计算机电子证书,这个选项就变灰了,其实它的更改是调用\WINDOWS\system32\netid.dll文件执行,在Windows7下,该文件只有安装信任用户才有权限改变,而这一用户在本地组里面根本就没有,这也是一些人撰文说到Windows7下无法改变的原因,因为没有权限去改了,其实不是没有办法的,作为管理员权限,可以剥夺文件的所有权,把所有权夺过来就可以随意编辑权限了,我亲自试验过,是可以剥夺所有权的。这也是移动硬盘即使是使用NTFS文件格式,加了权限也不安全的原因。
那么这一招就变得不是很有效了,一是域里面的电脑何其之多,一台一台改太麻烦了。另外,拥有本地管理员权限的用户如果知道这个细节,去把该文件的权限改回来不就成了。
那就需要想其它方法。域的组策略是可以抑制非域管理员权限的利器。以Windows2008的组策略为例,用户配置\策略\管理模板\桌面\从“计算机”图标上下文菜单中删除“属性”项目启用,启用了这个策略,我的电脑鼠标右键将会把属性项目去掉,调用netid.dll的开启文件没了,当然也就无法调用了。同时在控制面板里的系统项目XP直接就无效了,在Windows7里面虽然可以打开,但是想要进一步去改计算机名就会没有任何反应。这样做就可以控制域用户了。
那这样做就保险了?非也!我上面说的是可以控制域用户了,与之相对应的就是本地管理员,域策略管不着。拥有本地管理员权限的域账号是可以添加本地管理员账号的。这其实就很不好办了,只能是权宜之计了,能想到这一点的人对域也是很熟悉的,对付这样的人就很困难了。不让访问用户管理界面。还是组策略,用户配置\策略\管理模板\Windows 组件/Microsoft 管理控制台/受限的/许可的管理单元/扩展管理单元,把本地用户和组禁用掉,用户配置\策略\管理模板\控制面板\隐藏指定的“控制面板”项\不允许的“控制面板”项的列表添加Microsoft.UserAccounts这是Windows7里面的在控制面板里显示管理用户的项目,nusrmgr.cpl是XP里面的面板名,分别对应Windows7和XP,另外在用户配置\策略\管理模板\系统\不要运行指定的 Windows 应用程序指定不允许运行的程序,Netplwiz.exe,这个是Windows7下依然可以调出用户管理的程序。不过在XP下就没办法了,如果直接执行nusrmgr.cpl是可以运行的,不允许运行程序里面只能是可执行文件,nusrmgr.cpl无效。
所以说还是有漏洞,其实即便是Windows7禁止执行了文件,但是在命令行下依然是可以添加本地管理员账号的。在把cmd禁用,哈哈,不过XP就不好办了。
上一篇:排除console的AAA认证
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
HW期间AD域被攻击,有没有国产方案能替代微软AD?
hw期间AD域极易被攻击甚至打穿,企业出于信息安全增强需求及信创改造需求,需寻找能替代微软AD的国产化方案。宁盾国产化身份域管可以接管AD位,代替AD作为企业新一代身份基础底座。
ad域替代方案 微软AD替代 护网 Windows 活动目录 -
python没有权限打开目录怎么解决 pycharm没有权限
大家都知道 pip 在安装第三方库的时候是十分方便的,在 Windows 平台上,一条命令就可以将依赖关系都搞定:pip install requests 但还是有几个小问题。1.有时候会提示权限不够。 当初没有留下那个权限不足的截图,但是根据英文意思就是提示权限不
python没有权限打开目录怎么解决 pip 第三方库 python pycharm