通过域策略禁止有本地管理员权限的域用户更改网络配置

最新推荐文章于 2024-03-25 15:32:05 发布
最新推荐文章于 2024-03-25 15:32:05 发布
阅读量3.5k 收藏 4
点赞数 1
分类专栏: windows技术点 文章标签: 禁止修改网络 禁止执行命令 windows server 域策略 组策略
文章仅用于技术分享,未经本人同意,禁止转载,且不得应用于商业模式
本文链接:https://blog.csdn.net/ximenjianxue/article/details/119675873
版权
本文介绍了如何通过Windows Server的域策略来限制有本地管理员权限的域用户更改网络配置,包括禁止Network Connections服务、限制访问网络协议属性、禁止启用/停用网卡、禁止安装和卸载网络协议、绑定IP和MAC、以及阻止执行cmd和powershell等措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、背景

因基础环境要求,当用户订购0带宽租户产品时,且租户AD和DNS是运行公网的,而我们需要防止用户通过网络配置窗口或cmd命令修改网络,从AD跳转访问公网,本文将对此简述如何配置实现。

二、实现过程

2.1、域控配置组策略限制特定受管客户机无法通过界面修改网络配置

这里我们用禁止服务的办法(但这会导致用户误解网络连接问题)。Network Connections服务管理“网络和拨号连接”文件夹中对象,在其中可以查看局域网和远程连接。如果停止该服务,用户将不能访问本地连接来更改IP地址。
在这里插入图片描述
如上图所示,配置Network Connections服务,开启不自动启动,改为手动;且只允许domain Admins组能够完全控制,其他所有人(everyone)只读。

完成后客户机上应用(gpupdate /force),这时可发现,右下角网卡图标显示红叉了,且网络服务显示灰色,不可操作状态:
在这里插入图片描述
2.2、禁止访问网络协议属性

导航到“用户配置”――“管理模板”――“网络”――“网络连接”,将“禁止访问LAN连接组件的属性”设置为“已启用”:

最低0.47元/天 解锁文章
Windows域策略设置 禁止客户端修改IP地址【全域策略生效】
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
04-23 2386
目录 IP地址禁止修改策略 禁止IP修改策略之前 添加IP禁止修改策略 IPDenyChange 开始--管理工具--组策略管理 进入组策略界面 创建IPDenyChange策略 编辑该策略 域策略立即生效 IP地址禁止修改策略 在控环境下,我们为了追踪和管理用户的IP地址,我们可以通过将特定用户设置为特定IP地址的方法进行管理。 通过在域策略中,添加禁止用户私自修改IP地址的策略,来确保用户和IP一一对应。 禁止IP修改策略之前 ip地址可以随意修改 ...
组策略禁止修改IP等网络设置
weixin_33709219的博客
12-01 4945
在一些单位里,只允许部分电脑连外网,具体方式一般通过路由器设置规则,过滤MAC,IP或IP/MAC。一些童鞋们就愤懑不平了,为啥他们能上网,我们不能上,主要方式是修改IP,MAC或使用软件代理。在控环境下,禁止这些是比较简单的。如果网络带宽小,有多人使用P2P软件的话,网络会很卡。在中小企业里,网络只是辅助,用的都是工作组环境,而且一般网络结构比较简单,都是宽带路由器+傻瓜...
通过组策略禁止本地管理员权限用户更改网络配置
weixin_34122810的博客
11-14 2122
没有管理员权限用户,默认就没有权限更改计算机的IP地址。本示例主要用于禁止管理员更改计算机的IP地址,登录的用户都是计算机的本地管理员。 Network Connections服务管理“网络和拨号连接”文件夹中对象,在其中您可以查看局网和远程连接。如果停止该服务,用户将不能访问本地连接来更改IP地址。 本示例能够控制包括本地用户用户、...
环境下用组策略禁止客户端更改IP
AnsonNie的博客
04-21 2364
1.AD组策略添加有助于管理AD中的用户使用的client端的环境。 2.组策略依附于AD的OU构成 3.使用“gpmc.msc”在运行里面打开,或者是在“开始—管理工具”里面打开 4.在打开的组策略管理界面里面,林kaka下的DefaultDomain Policy为全局策略,而只对计算机做了配置。 ...
组策略妙用----通过组策略禁止用户更改IP地址
weixin_34370347的博客
02-16 1007
禁止更改IP地址 如果允许用户能够自己更改IP地址,就有可能和网络中其他计算机IP地址冲突。有些单位的网络管理员配置好计算机的IP地址后,不想让用户自己更改。以下示例将会演示禁止用户更改IP地址一种方法。 4.9.1示例:禁止用户更改IP地址 没有管理员权限用户,默认就没有权限更改计算机的IP地址。本示例主要用于禁止管理员更改计算机的IP地址,登录的用户都是计算机的管理员。 Netwo...
域策略(7)——禁用本地administrator登录计算机
只为苦逼的运维同胞在运维的道理上少踩坑。
09-25 8458
通常公司环境中,普通用户没有管理员权限,不可以随意设置系统和私自安装软件,但是对于有些自己装机经验的人员来说,会通过PE等工具来解锁和重置administrator本地账户,从而用本地账户进入系统,进行配置、安装软件等违规行为。因此可以通过策略禁用本地administrator,从而提高安全性,便于公司运维管理。6. 行政部OU下的所有计算机,均无法通过administrator登录计算机,登录时提示”你的账户已被停用。即使通过PE等工具重置本地administrator密码也无济于事。
绑定计算机与用户管理员权限策略,用户帐户控制: 管理员批准模式中管理员的提升权限提示的行为...
weixin_36431035的博客
06-21 1075
用户帐户控制: 管理员批准模式中管理员的提升权限提示的行为04/01/2016本文内容介绍了有关“用户帐户控制: 管理员批准模式中管理员的提升权限提示的行为”安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。参考此策略设置针对具有管理凭据的帐户确定提升权限提示行为。可能值不提示,直接提升假定管理员允许要求提升权限的操作,而不要求额外的许可或凭据。注意选择“不提示,直接提升”将最大程度地降低...
ad 禁用账号_AD撤销用户管理员权限方案
weixin_40002238的博客
12-19 1963
一、简介公司大部分主机加入已有一段时间了,由于某软件没管理员权限不能执行,所以管理员权限一直没撤销,不能完全实现的管理效果。但起码实现了用户脱离不了的控制:http://www.cnblogs.com/sjy000/p/4713389.html。撤销管理员后,所有用户加入Power Users组,只有主管仍是Administrators组。Power Users组可以正常访问本地所有资源,...
服务器怎么修改管理员密码,服务器更改客户端管理员的密码
weixin_39720807的博客
08-05 1911
服务器更改客户端管理员的密码 内容精选换一换管理员应定期修改Kerberos管理员“kadmin”的密码,以提升系统运维安全性。修改用户密码将同步修改OMS Kerberos管理员密码。已在集群内的任一节点安装了客户端,并获取此节点IP地址。cd /opt/hadoopclientsource bigdata_envkpasswd kadmin/admin默认密码复杂度要求:密码该任务指导用户...
用户加入本地管理员组(C井、Windows 7、Service).doc
07-07
其中一项常见的做法是通过组策略禁止普通用户加入本地管理员组。这样可以有效减少潜在的安全风险,但同时也带来了一些不便之处,比如用户在安装某些必需的软件时会频繁遇到权限不足的情况。本文将介绍一种解决方案...
组策略设置DNS方法
11-26
统一通过组策略修改网中所有主机的DNS,提供工作效率
域策略-部署共享网络驱动器、禁止USB移动储存设备、禁止用户修改IP地址
最新发布
weixin_49342402的博客
03-25 2360
域策略-部署共享网络驱动器、禁止USB移动储存设备、禁止用户修改IP地址 一、域策略-部署共享网络驱动器(映射驱动) 二、域策略-禁止USB移动储存设备 三、域策略-禁止用户修改IP地址 (1)无权修改用户修改IP地址 (2)登录服务器账户才能有权修改用户修改IP地址
WIN2003服务器通过组策略禁止部门员工上网
weixin_34153893的博客
11-15 384
1、打开“AD用户和计算机”,在wanxing.cn上新建一个OU,命名为:Client(组织单元里有用户thin-01)   2、右击Client,打开Client属性,点击“组策略”,展开“组策略”属性,点击“新建”按钮,新建一组策略对象,重命名为“禁止上网”。   (1) 选择“禁止上网”这一策略对象,点击“编辑”按钮,打开“组策略编辑器”,然后在左侧的控制台树中依次展开:用户...
修改组策略禁止用户修改IP
aa6383168的博客
07-31 372
运行中打开gepdit.msc,依次打开用户配置,管理模板,网络网络连接;在右侧将“禁止访问LAN链接组建的属性”、“为管理员启用windows2000网络连接设置”设置为已启用即可令用户无法访问网络连接的属性,自然其更改不了IP了 转载于:https://www.cnblogs.com/djjeson/p/4692406.html...
dns被自动修改_Win10 禁用DNS客户端服务,可以防止网络攻击,避免泄露个人隐私...
weixin_39881859的博客
11-28 3945
DNS是名系统(Domain Name System)的缩写,该系统用于命名组织到层次结构中的计算机和网络服务。在Internet上名与IP地址之间是一一对应的,名虽然便于人们记忆,但机器之间只能互相认识IP地址,它们之间的转换工作称为名解析,名解析需要由专门的名解析服务器来完成,DNS就是进行名解析的服务器。DNS命名用于Internet等TCP/IP网络中,通过用户友好的名称查...
管理中经常用到的组策略禁止修改IP及计算机名
大IT职男日志
08-16 6763
组策略方法:禁止修改计算机名: 1、"运行"—>""gpedit.msc"—>"用户配置"—>"管理摸板"—>"桌面"—>把"从'我的电脑'上下文菜单中移除属性选项"设置为"启用" 禁止修改IP即本地连接属性灰色: 2、"运行"—>"gpedit.
控操作三:给用户本地管理员权限
热门推荐
qq_45669879的博客
10-19 1万+
右键此电脑–管理–本地用户和组–组—双击administrators。一般来说会有本地管理账号和控的已缓存账号。搜索这个电脑使用人添加进去。点击添加–高级–输入管理员账号。
环境下客户机本机管理员密码修改实践
sanshow的技术专栏
10-23 2914
加入到环境下的客户机,虽有帐户及密码可统一管理,但是客户机登陆本机的管理员密码似乎是无法控制,有的用户自行设定,随意登录到本机,导致有些管理策略实施无效,有的用户干脆就没设,这给木马病毒的感染大开方便之门,于是我利用脚本技术加上组策略控制用户端本机密码。1、用记事本写如下脚本 存为pssword.vbs:strComputer = "."Set objUser = GetObjec
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 2135
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

羌俊恩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值