Jak odmówić administratorów domeny do logowania się lokalnie na stacjach roboczych.

.Single.post-Author, Autor : Konstantinos tsoukalas, Ostatnia aktualizacja : 9 kwietnia, 2025

Ten samouczek zawiera instrukcje krok po kroku, w jaki sposób uniemożliwić administratorom domeny do logowania lokalnie na komputerach domeny (stacje pracy).

administratorów domeny mają (domyślnie) uprawnienia administracyjne na każdym komputerze w domenie. Ale to zwiększa ryzyko bezpieczeństwa, ponieważ jeśli konto administratora pojedynczej domeny jest naruszone, atakujący może uzyskać kontrolę nad każdą maszyną w dziedzinie. Dlatego uniemożliwianie administratorom domeny logowania lokalnie do komputerów domenowych jest najlepszą praktyką do wyeliminowania tego ryzyka bezpieczeństwa.

* Informacje: Nie pozwalając administratorom domeny na lokalne połączenie ze stacji roboczych, osiągasz zwiększony poziom bezpieczeństwa w sieci bez usuwania możliwości wykonywania innych zadań administracyjnych. (np. Aby zarządzać stacji roboczych od „Użytkowników i komputerów Active Directory”).

How to nie dopuścić Domin Act Act Action Act Action Act Act Action. Komputery domeny katalogowej za pomocą zasad grupy (serwer 2016/2019).

Aby zapobiec logowaniu administratorów domeny lokalnie do komputerów domenowych:

1. Open Server Manager oraz od narzędzi Otwórz menu Otwórz menu Policy grupy.

Server Manager oraz z narzędzi W zarządzaniu zasadami grupy albo edytuj domyślną zasadę domeny lub-Better-Utwórz nową zasadę grupową dla całej domeny, albo po prostu dla OU, która zawiera komputery, na których chcesz odmówić administratorom domeny, aby zalogować się lokalnie.*

* Uwaga: W tym przykładzie kontynuujemy nie pozwalając domin do logowania lokalnie, tworząc nowe gpo, nazywając się „Dominem” Komputery, w których chcemy, aby ta polityka miała zastosowanie.

3. Kliknij prawym przyciskiem myszy i wybierz Utwórz GPO w tej dziedzinie i połącz go tutaj…

4. Nazwij nowy GPO jako „ odmów administratorów domeny, aby zalogować się lokalnie ” i kliknij ok.

5. teraz edytuj utworzone GPO.

6a. Przejdź do Konfiguracja komputera > polityki > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Lokalne zasady > Assessing Rights . Odmowa logowanie lokalnie zasady.

administratorów domeny” i kliknij Sprawdź nazwy.

8c . Następnie kliknij OK i ok ponownie, aby zapisać zmianę .

“>

9. Wreszcie kliknij Zastosuj > ok , aby zapisać GPO.

10. Zamknij wszystkie okna zarządzania zasadami grupy.

11. Wreszcie otwórz wiersz polecenia jako administrator i podaj następujące polecenie, aby zastosować zmiany (lub zrestartować stacje robocze):

gpupdate/Force

12. Od teraz, za każdym razem, za każdym razem, że administrator domeny podłączają się lokalnie do pracy, oni dostanie się do błędu: > „Metoda logowania, którego próbujesz użyć, nie jest dozwolona. Aby uzyskać więcej informacji, skontaktuj się z administratorem sieci.”

Konstantinos is the Found i administrator WINTIPS.Org. Od 1995 r. Pracuje i zapewnia obsługę IT jako ekspert komputerowy i sieciowy dla osób fizycznych i dużych firm. Jest specjalizowany w rozwiązywaniu problemów związanych z systemem Windows lub innymi produktami Microsoft (Windows Server, Office, Microsoft 365 itp.). Najnowsze posty Konstantinos Tsoukalas (patrz All)