一、简介
当公司所有主机加入到域后,SA首要工作就是防止加入域的主机脱离域的控制。让我发现该工作的必要性是一程序猿,前一天刚配完禁止执行QQ、微信执行,第二天就看到那家伙在用微信聊天,肯定是用回旧的本地账号登陆了。
本人所在公司安装软件的类型繁杂,无管理员权限运行不少软件会报错,不得不授予「域账号」本地管理员权限。过大的权限带也来了一系列后果:用户可随意退出域、创建本地管理员账号。如此管理方式对于SA来说也是个的挑战。
二、原理
禁止访问用户和组的管理工具,用户找不到新建本地账号的工具;重命名管理员、删除所有本地账号,用户没有本地账号登陆;当用户使用命令行创建新账号时,由于默认配置文件没权限访问,所以被拒绝;隐藏退出域的窗口,用户找不到退出域的窗口;禁止修改IP,设置和DC不同网段的IP依旧可登录,但脱离了控制。
三、配置
1、新建域组策略“防止脱离域”
开始 —— 系统管理工具 —— 域组策略