。
Active Directory環境中的主要安全風險允許域或本地用戶管理工作站。
刪除域用戶,以及來自域計算機上本地管理員組的本地用戶是域安全性的最佳實踐,我們將解釋為什麼要在下面進行。 src=“數據:image/gif; base64,r0lgodlhaqabaaaaaCh5baeakaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaiCtaiCtaeaow==“ width=” width=“ 760″ height=“ 421″>當域名或標準的本地用戶對域上的管理員的管理員的責任,該範圍內的計算機的管理員可以通過不得責備的人來彌補,該責任的範圍是不可接受的。例如,攻擊者可以使用此增加的訪問來安裝惡意軟件,竊取數據或訪問網絡上其他系統。
在本指南中,您將找到詳細說明以刪除標準域用戶的“ S)”,或其他本地用戶(除了標準的“管理員”帳戶除外)從本地的“管理員”組上的組上的“管理員”組。
如何從主動目錄計算機中的本地管理員組中刪除無需無需的帳戶。小組,本地用戶“管理員”和域用戶“用戶1″,同時僅保留“管理員”*帳戶和“域名” **組,如下圖所示。
**在刪除不需要的帳戶後,您可以使用Microsoft的本地管理員密碼解決方案(LAPS)來管理您的domain computres
1。管理。
* Note: In this example, we will define the local administrator accounts with a new policy, in a specific OU called”Workstations”that contains all the domain computers where we want this policy to apply.
3。 Right-Click 和選擇在此域中創建GPO,然後在此處鏈接……
ok。高度=“ 448″>
5。 > 6。轉到計算機配置>> 偏好>> 控制面板設置> 本地用戶和團體。
8。在“新的本地組屬性”窗口上,請執行以下操作: Action 中的
,選擇: Update in group name ,選擇: cansiverator(indent> indine> inden> inden> check>按鈕。
現在,單擊再次添加。
單擊提交的“名稱”旁邊的三個點。 好的保存GPO。 *
*注意:重複(如果需要)相同的操作,以在本地管理員組中添加任何其他標准或域用戶。
11。關閉所有組策略管理窗口。
12。最後,打開命令提示為管理員,並給出以下命令以應用更改(或重新啟動工作站):
gpupdate/force
就是這樣!讓我知道本指南是否通過對您的經驗發表評論來幫助您。請喜歡並分享本指南以幫助他人。
如果本文對您有用,請考慮通過捐款來支持我們。即使是1美元,我們在努力繼續幫助他人的同時保持免費的同時,對我們有很大的影響: