Windows 2008 R2 AD系列二：域用户加入本地管理员后 限制退出域

546324

在系列一中，我们把域用户加入了本地管理员，那么如何限制域用户自行退出域呢？

方法还是修改组策略：在用户配置 > 管理模板 > 桌面 > 把“从‘我的电脑’上下文菜单中移除属性选项”设置为“启用”即可，这样用户右键点击我的电脑，属性这一栏会消失，并且在控制面板，系统界面中，用户点击“高级系统设置”或者在计算机名处点击“更改设置”也不会有任何反映。

这样做其实不是非常保险，大家要知道，上面的策略只是针对域用户，如果拥有本地管理员权限的域用户创建了一个本地管理员帐号，然后再用这个本地管理员帐号登陆计算机呢，那么退出域还是可以操作。
继续修改组策略：
一、用户配置 > 策略 > 管理模板 > Windows 组件 >Microsoft 管理控制台> 受限的/许可的管理单元/扩展管理单元，找到本地用户和组，配置为已禁用。
二、用户配置 >策略 > 管理模板>控制面板，将隐藏指定的“控制面板”项设置为已启用，在不允许的“控制面板”项的列表里添加Microsoft.UserAccounts，这是Win7在控制面板里显示管理用户账户的项目。
三、用户配置 >策略 > 管理模板 > 系统 ，将不要运行指定的 Windows 应用程序设置为已启用，在不允许运行的应用程序列表里添加Netplwiz.exe，这个是开始运行调出用户帐户的程序，继续在不允许运行的应用程序列表里添加powershell.exe，防止用户在powershell下添加用户。用户配置 >策略 > 管理模板 > 系统，将阻止访问命令提示符设置为已启用，在下方选项中将“是否也要禁用命令提示行脚本处理”设置为是。（这种方法存在漏洞，原理是检测程序名，如果用户将程序改名，就可以运行了，下一篇文章我将介绍如何利用哈希规则限制运行某些程序）

经过上面的三步之后，域用户即便拥有本地管理员权限也无处添加本地管理员帐号了，更严谨变态的作法就是客户机还应开启BIOS密码，并且配置本地硬盘为第一启动项，以防止用户在PE环境下开启本地administrator帐号（Win7以上系统在加入域后会默认将administrator帐号禁用）