Lon*_*est 2 windows-server-2003 active-directory groups user-permissions
请告诉我如何确保远程桌面用户无法将软件安装到他们远程登录的 Active Directory 服务器上。
一些背景:
我有一个客户端,其服务器安全性非常糟糕。我通常更像是一名程序员而不是管理员,所以我需要一些帮助。
他们正在使用他们的 Active Directory 服务器来允许远程销售人员将远程桌面连接到他们的网络中,实质上允许该 Active Directory 服务器兼作 4 名远程员工的桌面。这对我来说似乎是个坏主意。我更愿意为这些远程用户设置单独的服务器。
但是,更糟糕的是,我只是使用其中一位销售人员的凭据登录,并且能够使用他们的凭据安装 firefox!因此,基本上,每个外部销售人员都拥有将应用程序安装到 Active Directory 服务器上的管理权限!
上周,我从服务器中删除了一个病毒,该病毒基本上使业务瘫痪。今天,还有另一种病毒会大量发送电子邮件(将他们的公司列入黑名单)。
我确实打算重新安装此服务器并尝试将其锁定,但直到周末,我都在尝试至少弄清楚如何使这些远程销售人员无法在服务器上安装软件。
事实是,我对 Active Directory 没有太多经验。我主要锁定没有 Active Directory 的 Windows 服务器(通过“计算机管理 > 用户”控制台)。
当我进入“Active Directory 用户和计算机”时。我没有看到销售人员是管理员组的成员。当我查看每个组(他们是其成员)时,我无法找到任何权限设置来说明他们为什么能够在服务器上安装软件。
你能不能给我指点一下。我一定是忽略了一些重要的东西。请指教。
编辑:
以下是组,用户是以下成员:
Name: ActiveDirectoryFolder
Custom Sales All domain.com/Users
Domain Users domain.com/Users
Remote Desktop Users domain.com/Builtin
Remote Users domain.com/Builtin
他们很可能要么一个成员BUILT-IN\Administrators,DOMAIN\Domain Admins或DOMAIN\Enterprise Admins。
将他们从这些组中删除,不要让任何人登录到不是系统管理员的 DC。
| 归档时间: |
|
| 查看次数: |
2508 次 |
| 最近记录: |