zoukankan      html  css  js  c++  java
  • 防止加入域主机脱离域的控制(管理员权限)

    一、简介

      当公司所有主机加入到域后,SA首要工作就是防止加入域的主机脱离域的控制。让我发现该工作的必要性是一程序猿,前一天刚配完禁止执行QQ、微信执行,第二天就看到那家伙在用微信聊天,肯定是用回旧的本地账号登陆了。

      本人所在公司安装软件的类型繁杂,无管理员权限运行不少软件会报错,不得不授予「域账号」本地管理员权限。过大的权限带也来了一系列后果:用户可随意退出域、创建本地管理员账号。如此管理方式对于SA来说也是个的挑战。

    二、原理

      禁止访问用户和组的管理工具,用户找不到新建本地账号的工具;重命名管理员、删除所有本地账号,用户没有本地账号登陆;当用户使用命令行创建新账号时,由于默认配置文件没权限访问,所以被拒绝;隐藏退出域的窗口,用户找不到退出域的窗口;禁止修改IP,设置和DC不同网段的IP依旧可登录,但脱离了控制。

    三、配置

    1、新建域组策略“防止脱离域”

    开始 —— 系统管理工具 —— 域组策略

    2、禁止访问用户和组的管理工具。防止新建本地账号

    3、重命名Administrator为root、删除所有本地管理员与本地账号。防止使用本地管理员登陆

    重命名系统管理员账户

    删除管理员组,保留域用户Domain Users与域管理员Domain Admins

    删除本地账号,用域组策略发布查看用户的批处理,将信息发送到某台主机的共享文件夹下;统计好所有账号后,再发布删除用户的批处理。

    net user \192.168.1.100log\%username%.log
    net user /del username

    4、设置默认配置文件拒绝访问,新建用户不能登录

    默认配置文件:每个新建的用户都会从默认模板“C:UsersDefault”下复制配置文件到“C:Users新用户”。

    设置C:UsersDefault所有人都无权限

    cacls %SYSTEMDRIVE%UsersDefault /e /c /p everyone:N

    5、隐藏 「计算机—右键—属性」 与 「控制面板 — 系统」:防止用户退出域

    6、禁止修改IP,防止脱离域的控制

    用域组策略发布批处理,禁用/停用Network Connections服务

    实现效果一般,右下角网络图标有红色叉叉,网络正常,本地连接消失

    sc config Netman start= disabled
    net stop Netman

    7、刷新域组策略,配置立即生效

    四、测试

    重启Win7客户端,模拟好(xiong)同(hai)事(zi)的操作 (≖ ‿ ≖)

    1、测试使用用户和组管理工具,木有工具

    2、尝试退出域,依旧找不到

    3、修改IP,网络正常,本地连接不见了

    4、查看Administrators组成员

    5、通过命令创建本地用户user2

    6、使用本地用户user2登录,登录失败


    本文出自 “运维菜鸟.log” 博客,谢绝转载!

  • 相关阅读:
    图论集合
    无向连通图求割点(tarjan算法去掉改割点剩下的联通分量数目)
    河南省第七届ACM程序设计大赛总结
    单源最短路(spfa),删边求和
    最小圆覆盖
    二分图最大独立集
    二分图最少路径覆盖
    二分图最少点覆盖
    二分图最大匹配(匈牙利算法)
    最小费用最大流模板题
  • 原文地址:https://www.cnblogs.com/sjy000/p/4713389.html
Copyright © 2011-2022 走看看