一、簡介
當公司所有主機加入到域后,SA首要工作就是防止加入域的主機脫離域的控制。讓我發現該工作的必要性是一程序猿,前一天剛配完禁止執行QQ、微信執行,第二天就看到那家伙在用微信聊天,肯定是用回舊的本地賬號登陸了。
本人所在公司安裝軟件的類型繁雜,無管理員權限運行不少軟件會報錯,不得不授予「域賬號」本地管理員權限。過大的權限帶也來了一系列后果:用戶可隨意退出域、創建本地管理員賬號。如此管理方式對於SA來說也是個的挑戰。
二、原理
禁止訪問用戶和組的管理工具,用戶找不到新建本地賬號的工具;重命名管理員、刪除所有本地賬號,用戶沒有本地賬號登陸;當用戶使用命令行創建新賬號時,由於默認配置文件沒權限訪問,所以被拒絕;隱藏退出域的窗口,用戶找不到退出域的窗口;禁止修改IP,設置和DC不同網段的IP依舊可登錄,但脫離了控制。
三、配置
1、新建域組策略“防止脫離域”
開始 —— 系統管理工具 —— 域組策略
2、禁止訪問用戶和組的管理工具。防止新建本地賬號
3、重命名Administrator為root、刪除所有本地管理員與本地賬號。防止使用本地管理員登陸
重命名系統管理員賬戶
刪除管理員組,保留域用戶Domain Users與域管理員Domain Admins
刪除本地賬號,用域組策略發布查看用戶的批處理,將信息發送到某台主機的共享文件夾下;統計好所有賬號后,再發布刪除用戶的批處理。
net user \\192.168.1.100\log\%username%.log net user /del username
4、設置默認配置文件拒絕訪問,新建用戶不能登錄
默認配置文件:每個新建的用戶都會從默認模板“C:\Users\Default”下復制配置文件到“C:\Users\新用戶”。
設置C:\Users\Default所有人都無權限
cacls %SYSTEMDRIVE%\Users\Default /e /c /p everyone:N
5、隱藏 「計算機—右鍵—屬性」 與 「控制面板 — 系統」:防止用戶退出域
6、禁止修改IP,防止脫離域的控制
用域組策略發布批處理,禁用/停用Network Connections服務
實現效果一般,右下角網絡圖標有紅色叉叉,網絡正常,本地連接消失
sc config Netman start= disabled
net stop Netman
7、刷新域組策略,配置立即生效
四、測試
重啟Win7客戶端,模擬好(xiong)同(hai)事(zi)的操作 (≖ ‿ ≖)
1、測試使用用戶和組管理工具,木有工具
2、嘗試退出域,依舊找不到
3、修改IP,網絡正常,本地連接不見了
4、查看Administrators組成員
5、通過命令創建本地用戶user2
6、使用本地用戶user2登錄,登錄失敗
本文出自 “運維菜鳥.log” 博客,謝絕轉載!