Windows 2008 R2 AD系列二：域用户加入本地管理员后 限制退出域

在系列一中，咱们把域用户加入了本地管理员，那么如何限制域用户自行退出域呢？

 

方法仍是修改组策略：在用户配置 > 管理模板 > 桌面 > 把“从‘个人电脑’上下文菜单中移除属性选项”设置为“启用”便可，这样用户右键点击个人电脑，属性这一栏会消失，而且在控制面板，系统界面中，用户点击“高级系统设置”或者在计算机名处点击“更改设置”也不会有任何反映。

 

这样作其实不是很是保险，你们要知道，上面的策略只是针对域用户，若是拥有本地管理员权限的域用户建立了一个本地管理员账号，而后再用这个本地管理员账号登录计算机呢，那么退出域仍是能够操做。

继续修改组策略：

1、用户配置 > 策略 > 管理模板 > Windows 组件 >Microsoft 管理控制台> 受限的/许可的管理单元/扩展管理单元，找到本地用户和组，配置为已禁用。

2、用户配置 >策略 > 管理模板>控制面板，将隐藏指定的“控制面板”项设置为已启用，在不容许的“控制面板”项的列表里添加Microsoft.UserAccounts，这是Win7在控制面板里显示管理用户帐户的项目。

3、用户配置 >策略 > 管理模板 > 系统 ，将不要运行指定的 Windows 应用程序设置为已启用，在不容许运行的应用程序列表里添加Netplwiz.exe，这个是开始运行调出用户账户的程序，继续在不容许运行的应用程序列表里添加powershell.exe，防止用户在powershell下添加用户。用户配置 >策略 > 管理模板 > 系统，将阻止访问命令提示符设置为已启用，在下方选项中将“是否也要禁用命令提示行脚本处理”设置为是。（这种方法存在漏洞，原理是检测程序名，若是用户将程序更名，就能够运行了，下一篇文章我将介绍如何利用哈希规则限制运行某些程序）

 

通过上面的三步以后，域用户即使拥有本地管理员权限也无处添加本地管理员账号了，更严谨变态的做法是还应修改本地administrator账号密码（经过组策略），而且开启BIOS密码，配置本地硬盘为第一启动项，防止客户机在PE环境下重置本地administrator账号密码。