Hur man förnekar domänadministratörer för att logga in lokalt på arbetsstationer.

Published by All Things Windows on

.Single.Post-Author, författare : Konstantinos Tsoukalas, Senast uppdaterad : 9 april 2025

Denna handledning innehåller steg-för-steg-instruktioner om hur man kan förhindra domänadministratörer till logon-on lokalt på domänskonterade datorer (arbetsstationer).

domänadministratörer har (som standard) administrativa behörigheter på varje dator i domänen. Men detta ökar säkerhetsrisken, för om ett enda domänadministratörskonto komprometteras kan angriparen få kontroll över varje maskin i domänen. Därför är att förhindra domänadministratörer från att logga in lokalt till domändatorer den bästa praxis för att eliminera denna säkerhetsrisk.

* Info: Genom att inte tillåta domänadministratörer att ansluta lokalt till arbetsstationer, uppnår du en ökad säkerhetsnivå i ditt nätverk utan att ta bort förmågan att utföra andra administrativa uppgifter. (e.g. to manage workstations from”Active Directory Users and Computers”).

How to Not Allow Domain Admins to logon locally on Active Directory Domändatorer via grupppolicy (Server 2016/2019).

för att förhindra att domänadministratörer loggar in lokalt till domändatorer:

In Group Policy Management, either edit the default domain policy or-better-create a new group policy for the entire domain or just for the OU that contains the Computers on which you want to deny domain admins to logon locally.*

* Note: In this example, we proceed to not allow domain admins to login locally, by creating a new GPO on a specific OU called”Workstations”, that contains all the domain Datorer där vi vill att denna policy ska tillämpas.

3. Högerklicka på och välj Skapa en GPO i denna domän och länka den här…

4. Name the new GPO as”Deny Domain Admins to Logon Locally“and click OK.

5. nu redigera den skapade gpo.

6a. Gå till datorkonfiguration policy > Windows Local Policies

6b. förnekar loggen på lokalt policy.

(kontrollera) Alternativet”Definiera dessa policyinställningar”och klicka sedan på Lägg till användare eller grupp.

p> p> p> typ> typ> typ> typ> TYP> TILL> TILL> TILL> TILL> TILL> TILL> TILL> TILL> TILL> TILL> domänadministratörer” och klickar på Kontrollera namn.

8c . Klicka sedan på ok och ok igen för att spara förändring.

10. Stäng alla grupppolicyhanteringsfönster.

11. Slutligen, öppen kommandotolken som administratör och ge följande kommando för att tillämpa ändringarna (eller starta om arbetsstationerna):

gpupdate/force

12. från nu på, varje tid en domain administrator TRIES TO a Workstation to a workstation, de kommer att bli “Inloggningsmetoden du försöker använda är inte tillåtet. För mer info, kontakta din nätverksadministratör.”

Om den här artikeln var användbar för dig, kan du överväga att stödja oss genom att göra en donation. Till och med $ 1 kan göra en stor skillnad för oss i vår ansträngning att fortsätta att hjälpa andra samtidigt som den här webbplatsen är fri:

Categories: IT Info

Related Posts

IT Info

Instagram lanserar’blandning’för delade rullar upptäckt bland vänner

Instagrams nya blandningsfunktion har lanserat, vilket skapar inbjudna, anpassade rullar flöden baserade på de kombinerade intressena för vänner i en DM-chatt. Post Instagram lanserar'Blend &#

IT Info

Apple VD Tim Cook pressade handel Sekreterare Lutnick på iPhone Tariff Impact

Apples VD Tim Cook har enligt uppgift talat med Commerce Sec. Lutnick om inverkan nya amerikanska tullar kan ha på iPhone-priser, efter policyförvirring. Post Apple VD Tim Cook

IT Info

Apple Patches 2 utnyttjade iOS nolldagar i Coreaudio och RPAC

Apple säger att sårbarheterna kan ha utnyttjats i en extremt sofistikerad attack mot specifika riktade individer på iOS. Post Apple Patches 2 utnyttjade iOS ZE