防止加入域主机脱离域的控制(管理员权限)

最新推荐文章于 2023-07-05 17:58:13 发布
最新推荐文章于 2023-07-05 17:58:13 发布
阅读量2.5k 收藏 13
点赞数 1
文章标签: 运维
原文链接:http://www.cnblogs.com/sjy000/p/4713389.html
版权
本文介绍了如何防止加入域的主机脱离控制,包括禁止访问用户和组管理工具以防止新建本地账号,重命名并删除管理员账号,设置默认配置文件拒绝访问,隐藏退出域窗口,禁止修改IP等措施。通过这些策略确保域环境的安全与稳定。
摘要由CSDN通过智能技术生成

一、简介

  当公司所有主机加入到域后,SA首要工作就是防止加入域的主机脱离域的控制。让我发现该工作的必要性是一程序猿,前一天刚配完禁止执行QQ、微信执行,第二天就看到那家伙在用微信聊天,肯定是用回旧的本地账号登陆了。

  本人所在公司安装软件的类型繁杂,无管理员权限运行不少软件会报错,不得不授予「域账号」本地管理员权限。过大的权限带也来了一系列后果:用户可随意退出域、创建本地管理员账号。如此管理方式对于SA来说也是个的挑战。

 

二、原理

  禁止访问用户和组的管理工具,用户找不到新建本地账号的工具;重命名管理员、删除所有本地账号,用户没有本地账号登陆;当用户使用命令行创建新账号时,由于默认配置文件没权限访问,所以被拒绝;隐藏退出域的窗口,用户找不到退出域的窗口;禁止修改IP,设置和DC不同网段的IP依旧可登录,但脱离了控制。

 

三、配置

1、新建域组策略“防止脱离域”

开始 —— 系统管理工具 —— 域组策略

最低0.47元/天 解锁文章
der69615
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Virtual Machine Server快照回去后防止的解决方案
WarmSunshine7的博客
03-10 1938
大多数公司都会有自己的Test Farm使用,如果有测试部门的情况下,测试人员手里也有虚拟机环境,在使用过程中为了保证环境出问题时能快速找回,使用者会采用Virtual Machine Server的快照功能,通过定期做快照来备份Farm Server数据,在需要时可以用快照还原回去使用。但是有时候会遇到快照回去的环境掉了,需要重新添加,如果server多的话重新加的操作也比较麻烦。其实我们可以透过修改Setting延长账号验证的期限来解决此问题。本文主要介绍出现此问题的原因和具体的解决方法。
禁止有管理员权限用户退出
weixin_33875839的博客
11-03 1684
因为需要,用户都有本地机的管理员权限,有用户自己就把机器退出Windows,干自己想干的事情,然后在来找你帮他加入,因为已经限制普通用户把PC加入。 现在主流的操作系统式XP和Windows7,退出是在系统属性里面的计算机名项目的更改。当你的电脑在内安装了的计算机电子证书,这个选项就变灰了,其实它的更改是调用\WINDOWS\system...
Windows 2008 R2 AD系列二:用户加入本地管理员后 限制退出
weixin_34377919的博客
10-26 678
在系列一中,我们把用户加入了本地管理员,那么如何限制用户自行退出呢?方法还是修改组策略:在用户配置 > 管理模板 > 桌面 > 把“从‘我的电脑’上下文菜单中移除属性选项”设置为“启用”即可,这样用户右键点击我的电脑,属性这一栏会消失,并且在控制面板,系统界面中,用户点击“高级系统设置”或者在计算机名处点击“更改设置”也不会有任何反映。这样做其实不...
转载:限制有管理员权限用户修改计算机名和退出
yun8686的博客
07-07 2469
转载:限制有管理员权限用户修改计算机名和退出自:https://www.cnblogs.com/oliverary/articles/5407987.html 通过组策略禁用本地管理员用户修改计算机一、禁用本地用户账户管理1.限制控制用户账户管理2.限制控制面板用户账户管理(后缀.cpl可省略)二、禁用系统属性功能解决方法1:通过组策略来禁用修改计算机名通过创建组策略将禁用使用系统属性,在适...
win2008控计算机用户批量删除用户管理员权限_如何绕过Windows 10用户组策略...
weixin_39709178的博客
11-24 938
0x00 前言在本文中,我将分享如何滥用Windows的一个功能来绕过用户组策略(User Group Policy)。用户组策略被绕过并不意味着世界末日,但毕竟存在潜在风险,根据用户组策略的具体设置,这种行为可能对安全环境造成极大影响。我在Windows 7及Windows 10 Enterprise x64 (10.18363 1909)上测试了这种技术,利用过程不需要管理员权限。这...
200页详细的特斯拉Model3控制器拆解分析
06-02
5. 自动驾驶系统供应链管理:通过对控制器的供应链管理分析,可以了解自动驾驶系统的供应链结构、物流管理和风险管理,了解自动驾驶系统的供应链管理策略。 6. 特斯拉Model 3控制器制造流程分析:通过对控制...
活动目录加入权限委派.docx
09-27
例如,可以将加入的权限委派给管理员,以便他们可以管理和维护中的计算机对象。 在委派加入的权限时,需要注意以下几点: 首先,需要确定要委派的权限的范围。如果想让某个用户或组拥有加入的权限,那么...
自动加入工具(更新)
09-23
工具执行步骤为:启用administrator账户-填写名,账号、密码和administrator密码-加入-将账号加入到管理员组,没有写入重启的命令,需要手动重启即可。(注:在将账号添加到管理员组的时候,需要输入...
思网络:星外主机管理系统API代理模板
04-26
在IT行业中,尤其是在服务器管理和自动化运维,"思网络: 星外主机管理系统API代理模板"是一个重要的工具,主要用于高效地管理和控制主机资源。这个系统集成了API接口,允许开发者通过编程方式来操作和扩展其...
备份控制器的配置
09-06
4. **设置网络凭据**:输入主控制器的名,如果服务器已经加入并使用管理员账户登录,可以直接选择;否则,需提供"备用凭据"。 5. **全局编录**:全局编录是林中所有对象的部分属性集合,用于快速查找跨...
通过DNS响应欺骗来绕过控制验证
weixin_34218890的博客
09-15 566
本文讲的是通过DNS响应欺骗来绕过控制验证, 在用户验证他们有控制权后,Detectify才会扫描这个网站。其中一个验证方法是向添加一个DNS TXT记录,其中包含由Detectify提供的字符串。当用户进行验证时,Detectify将执行DNS查询并检查相应字符串。让我们来看看它是如何通过 DNS 响应欺骗来绕过控制验证。 译者注:Dete...
AD用户加入本地管理员后限制退-Win2008/2012
weixin_33981932的博客
10-07 875
修改组策略:在用户配置 > 管理模板 > 桌面 > 把“从‘我的电脑’上下文菜单中移除属性选项”设置为“启用”即可,这样用户右键点击我的电脑,属性这一栏会消失,并且在控制面板,系统界面中,用户点击“高级系统设置”或者在计算机名处点击“更改设置”也不会有任何反映。 这样做其实不是非常保险,大家要知道,上面的策略只是针对用户,如果拥有本地管理员权限用户创建了一个本地管理员帐号,...
禁止未加入电脑访问资源|活动目录外的用户不能访问内怎么设置
sanshow的技术专栏
10-23 7326
 禁止未加入电脑访问资源|活动目录外的用户不能访问内怎么设置?windows2003环境下,如何设置让未加入的电脑不能访问内资源(该用户拥有成员权限)???具体的情况是这样的,公司局网内最近新增了无线,单独一个网段,用来外单位人员上外网及公司内部开会时使用.无线连接未设置密码(也不方便设置密码,外来上员上网不方便),但发现部分员工用自己的笔记本连接无线,由于都有成员的帐号,
加入不能访问资源
weixin_34209851的博客
08-15 556
加入不能访问资源。能不能做到?客户机没有加入,即使有帐户和密码,也不能访问中的资源(例如共享文件夹是可以通过拒绝访问权限来做,我希望基于计算机来做)。 回答:根据您的描述,我对这个问题的理解是:您想禁止用户从非的计算机访问内的资源,即使用户知道账户密码。由于当计算机未加入时,活动目录内是没有存储此计算机的对象的。 我们无法通过限制计算机的方式限制这些来在...
限制未加入访问公司服务器
weixin_34112900的博客
08-09 561
声明:本文转载自gnaw0725.blogbus.com,更新网址:http://gnaw0725.blog.51cto.com。 windows2003的环境,加入windows2003的web服务器服务器。请问有无方法实现这需求?需要达到的目的是: 加入的,可以访问该web服务器的80端口,就可以使用IE访问web系统; 不加入的,不能...
如何解决用户出差,脱的问题
迷逝
08-18 5235
本文转自 kuSorZ 51CTO博客,原文链接:http://blog.51cto.com/kusorz/1707522 相信大家都碰到过这个问题,某个用户出差,连同已加的笔记本一起带出,时间较长,回来之后,我们常常发现该用户的计算机已经无法登陆,错误提示通常为:此工作站和主间的信任关系失败(长时间不使用或脱离环境的电脑也会碰到这个情况),常见的解决办法就是退出再重新加入,如果这种情况多的话,每次这样操作都比较麻烦,那么我们如何从根本上解决这一问题呢? 首先要知道这个问题形成的原因,先来看看微软
电脑,如何脱上网下载安装其他工具软件
weixin_39332385的博客
11-19 4151
1、准备一个U盘,制作U盘启动盘,可以参考 https://www.wepe.com.cn/download.html?tdsourcetag=s_pcqq_aiomsg; 2、制作完成后,重启电脑,修改BOOT启动顺序,将U盘设置为第一启动项并保存重启; 3、进入PE系统桌面,点击windows密码修改,点击右侧打开,用户列表可以找到Administrator,选中后点击解锁,点击修改密码,可以不输入密码,就是无需密码可登录Administrator,点击确定; 4、然后重启电脑,进入登录界面,可以选择其
策略临时绕过(主题、密码复杂度、USB等)
LeoForBest的博客
11-24 2481
文章目录策略临时绕过(主题、密码复杂度、USB等)背景一. 修改壁纸、主题二. 密码复杂度策略三. 策略同步时间四. USB可读写a). 前提b). 操作步骤**c). 其他可能的注册表禁用方法**五. 注册表被禁用 策略临时绕过(主题、密码复杂度、USB等) 前提: 以下操作都必须有本地管理员权限 背景 在做电脑维护时,有时经常需要进行特殊操作,需要临时绕过一些策略,反复进PE或重...
windows 10退出AD控教程
最新发布
weixin_44675999的博客
07-05 6335
4. 点击“工作组”,输入“WORKGROUP”,这个组名可以自定义。6.输入管理员的用户名密码,点击“确认”1.同时按快捷键“windows+R”2.在框框里输入“sysdm.cpl”8.提示要重启计算器,点击“确认”7.提示已经加入到到工作组。3.点击“更改”按钮。
理解控制器:为什么需要Active Directory
此外,控制器还包含了操作主机角色,如RID主机、PDC仿真器等,这些角色确保了AD服务的稳定性和可用性。全局编录服务器则提供了一个快速查询整个内对象信息的途径,提高了查询性能。 组策略是环境中的另一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值