none
[AD]能否透過Domain Policy禁止user將電腦離開網域? RRS feed

  • 問題

  • As title,

    我想透過domain policy來限制user離開網域,可是沒有找到適合的項目
    從使用者權力指派內指定似乎也無法達到效果

    請問在domain policy裡面可以限制嗎? 
    或是有其他方法可以達到此目的...
    • 已編輯 Vincent Lin 2009年3月18日 上午 06:36 修改Title
    2009年1月16日 上午 05:42

解答

  • 為了這個有趣的問題,我研究出另一種方法,就是隱藏「電腦名稱」的標籤,給大家參考看看。

     

    開啟「命令提示字元」,然後輸入指令

    指令參考

    cacls c:\windows\system32\netid.dll /G "NT AUTHORITY\SYSTEM":F

     

    請注意「NT AUTHORITY\SYSTEM」前後需用雙引號包起來,

    這樣就算Administrator 也沒辦法透過「GUI 介面」去作修改了。

     

    有幾點分享:

    1. 目前有測過確認無誤的是XP及2003,2000 手頭上沒有。但 Vista / 2008 不適用。

    2. 這方法防君子不防小人,只要有Administrator權限,用netdom 指令還是能修改電腦名稱甚至退出網域。

    3. 如果要網域下部署,一種方法是Logon Script。但這有很大的問題,就是這樣會跳出是否確定執行的選項。 因為小弟不會寫VBS,我在想應該可以透過程式的方式去作強行修改。

    • 已標示為解答 Vincent Lin 2009年2月12日 上午 08:49
    2009年1月23日 上午 06:18
    版主

所有回覆

  • gpo>使用者設定>系統管理範本>開始功能表和工作列>裡面有個移除開始功能表的登出

     

    我想找不到按鈕應該就沒辦法登出了吧

    2009年1月19日 上午 06:22
  • 謝謝樓上的回答,不果我的問題點是有沒有辦法透過domain policy禁止使用者讓電腦脫離網域...

    這幾天問的結果是"無解",因為只要有client端管理者權限就可以自由退出domain...

    頂多只能限制誰可以讓電腦加入domain而已
    2009年1月19日 上午 06:33
  • 你的問題我也試著想找出辦法,

    不過無奈找不到相關資訊,

    可以用機碼的方式將下面圖片中的「變更」按鈕變成灰階,

    也就是連Administrator 都無法使用。

     

    截圖中那台機器的「變更」會變成灰階,

    主要是由於負有發放公司內部憑證的重責大任,

    所以會被系統鎖定而無法變更名稱甚至退出網域。

     

    希望這一點想法能給你帶來一點希望,

    我也會試著再研究看看這有趣的問題。

    2009年1月19日 上午 06:50
    版主
  • 能不能提供將"變更"按鈕無效化的方法呢?

    thanks,
    2009年1月19日 上午 06:55
  •  ShengQuan 寫信:
    能不能提供將"變更"按鈕無效化的方法呢?
    thanks,

    不好意思,我的文章可能讓你誤會。

    我目前也在研究是哪一段機碼可以修改,

    或者看是否有其他先進更清楚位置了。

    2009年1月19日 上午 07:11
    版主
  • 這邊就有問題了,user為什麼有管理者權限,一般的管理者給user都只是user權限,頂多有些需要特殊權限會開到power user
    一般登入到domain就是吃AD的權限,如果user知道client端的administrator權限的話,你只要改掉就好了
    2009年1月21日 上午 08:10
  • 為了這個有趣的問題,我研究出另一種方法,就是隱藏「電腦名稱」的標籤,給大家參考看看。

     

    開啟「命令提示字元」,然後輸入指令

    指令參考

    cacls c:\windows\system32\netid.dll /G "NT AUTHORITY\SYSTEM":F

     

    請注意「NT AUTHORITY\SYSTEM」前後需用雙引號包起來,

    這樣就算Administrator 也沒辦法透過「GUI 介面」去作修改了。

     

    有幾點分享:

    1. 目前有測過確認無誤的是XP及2003,2000 手頭上沒有。但 Vista / 2008 不適用。

    2. 這方法防君子不防小人,只要有Administrator權限,用netdom 指令還是能修改電腦名稱甚至退出網域。

    3. 如果要網域下部署,一種方法是Logon Script。但這有很大的問題,就是這樣會跳出是否確定執行的選項。 因為小弟不會寫VBS,我在想應該可以透過程式的方式去作強行修改。

    • 已標示為解答 Vincent Lin 2009年2月12日 上午 08:49
    2009年1月23日 上午 06:18
    版主