在公司企業往往有許多因素造成Administrator權限無法收回,
當下對使用者電腦沒辦法嚴格管控,無論是User自身的不良操作或惡意程式及網頁試圖竄改
系統,對系統來說都是相當有風險的,以下介紹幾項可透過GPO管理的手段:
當下對使用者電腦沒辦法嚴格管控,無論是User自身的不良操作或惡意程式及網頁試圖竄改
系統,對系統來說都是相當有風險的,以下介紹幾項可透過GPO管理的手段:
一 限制操作電腦管理
使用者設定/原則/系統管理範本/Windows 元件/Microsoft Management Console/限制的/許可的嵌入式管理單元/電腦管理二 限制使用登錄編輯程式(Regedit)
使用者設定/原則/系統管理範本/系統/防止存取登錄編輯工具
三 限制修改本機服務
使用者設定/原則/系統管理範本/Windows 元件/Microsoft Management Console/限制的/許可的嵌入式管理單元/服務
四 限制編輯群組原則物件編輯器
使用者設定/原則/系統管理範本/Windows 元件/Microsoft Management Console/限制的/許可的嵌入式管理單元/群組原則/群組原則物件編輯器
五 限制存取控制台
使用者設定/原則/系統管理範本/控制台/隱藏指定的控制台項目
假如公司有多台DC也是要確認該DC是否有開啟GC(通用類別目錄),用戶端才能從該台登入~
可以在AD站台及服務去設定Subnets及Site讓不同的Site及子網域的電腦跟不同的DC去做驗證~
其次DNS不是指到誰就找誰登入~因為DNS裡面會有所有站台的資訊~
有時間您可以研究_msdcs下~您應該會看出在GC\_tcp下面的物件會有您DC的資料~
您的用戶端就是參考這資訊才知道該找誰登入的~
可以在AD站台及服務去設定Subnets及Site讓不同的Site及子網域的電腦跟不同的DC去做驗證~
其次DNS不是指到誰就找誰登入~因為DNS裡面會有所有站台的資訊~
有時間您可以研究_msdcs下~您應該會看出在GC\_tcp下面的物件會有您DC的資料~
您的用戶端就是參考這資訊才知道該找誰登入的~
確認五大角色在哪台機器
netdom query fsmo
查詢USER登入哪台DC
在client直接開命令提示字元執行
echo %LOGONSERVER%
沒有留言:
張貼留言