close
相信很多MIS人員對管理AD有一定的認知,
也有很多的痛,
往往有許多因素造成Administrator權限無法收回,
當下對使用者電腦沒辦法嚴格管控,
比如使用者可以自己管理本機使用者群組、登錄編輯程式(Regedit)…
無論是使用者自身的不良操作或惡意程式及網頁試圖竄改系統,
對系統來說都是相當有風險的,
以下就簡略介紹幾項可透過GPO管理的手段:
一 |
限制操作電腦管理 |
|
使用者設定/原則/系統管理範本/Windows 元件/Microsoft Management Console/限制的/許可的嵌入式管理單元/電腦管理 |
二 |
限制使用登錄編輯程式(Regedit) |
|
使用者設定/原則/系統管理範本/系統/防止存取登錄編輯工具 |
三 |
限制修改本機服務 |
|
使用者設定/原則/系統管理範本/Windows 元件/Microsoft Management Console/限制的/許可的嵌入式管理單元/服務 |
四 |
限制編輯群組原則物件編輯器 |
|
使用者設定/原則/系統管理範本/Windows 元件/Microsoft Management Console/限制的/許可的嵌入式管理單元/群組原則/群組原則物件編輯器 |
五 |
限制存取控制台 |
|
使用者設定/原則/系統管理範本/控制台/隱藏指定的控制台項目 |
這樣在使用者擁有Administrator權限下,又能顧及系統的安全性,在此建議大家一定要試試。
全站熱搜
留言列表