Mic*_*ell 1 group-policy windows-server-2008-r2 rds
我管理的其中一个客户端在用户登录工作的 Windows Server 2008 R2 服务器上运行 RDS 环境。我需要阻止用户允许应用程序重新启动这些服务器,关键是他们都是本地管理员(由于他们运行的应用程序的要求)。您建议使用哪些 GP 来解决此问题?我目前有以下设置:
计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 用户权限分配 > 关闭系统。
只允许域管理员关闭系统,我相信这仅适用于本地关闭,不适用于远程。
您不能有效地拒绝本地管理员的权限,因为无论您应用什么 GPO,他们始终可以通过编辑注册表至少暂时覆盖它。他们还可以从域中删除计算机。
通常,您不应在需要自上而下的管理控制的环境中使用或分发本地管理员帐户,例如这样。最好的策略是将这些密码保存在数据库中(或为此目的而设计的软件,例如 Hitachi ID Privileged Access Manager,我曾经使用过);密码应仅在需要重新建立域关系或类似情况时使用,并且密码的使用应该是可审计的。
不幸的是,您的应用程序需要此类访问权限。您可以考虑确定它实际需要什么访问权限,并改为提供它;大多数应用程序实际上不需要管理员访问权限。
如果您的唯一目标是防止意外关闭,您当然可以设置Local Security Policy/Local Policies/User Rights Assignment/Shut Down the System排除它们,但请注意,这不会阻止知识渊博的用户有意关闭它。我相信此策略适用于 RDP 交互式会话,但不适用于shutdown命令(它可以选择针对远程主机);这是Force shutdown from a remote systemGPO 选项的域。
| 归档时间: |
|
| 查看次数: |
4326 次 |
| 最近记录: |