统一更改默认本地管理员密码
对于加入域的用户,为了防止使用本地管理员登录计算机。进行组策略通过一更改默认管理员密码(administrator)
登录域控制器——打开“组策略管理器”控制台——编辑默认的“Default Domain Policy”——“用户配置”——“首选项”——“控制面板设置”——“本地用户和组”选项。
右侧空白处,单击鼠标右键,在弹出的快捷菜单中选择“新建”选项,在弹出的级联菜单中选择“本地用户”命令。
命令执行后,打开“新建本地用户属性”对话框。“用户名”文本框中设置本地管理员的用户名称。注意,根据需要定制本地管理员名称。“密码”和“确认密码”文本框中键入本地管理员用户使用的新密码。设置密码权限管理方式。
单击“确定”,显示“密码警告”对话框。提示密码存储位置。注意,密码以加密方式存储。
单击“确定”,完成策略设置。
备注:自测试,策略生效需要一些时间,在各类客户机(win7/win8/winxp)才能生效。
用户登录时只能登录到域
以Windows 7操作系统为例说明,如果用户登录过程中输入的用户名为“.\XXXX”,则登录本地。在部署AD DS域服务的网络环境中,不允许使用本地用户登录,只能使用域用户登录到域或者本地管理员用户登录到本地。本地管理员用户统一管理,本地管理员(默认管理员“administraotrs”)密码作为机密资料管理,不对任何用户公开。
1.部署域策略
“组策略管理器”控制台,选择目标组策略对象——编辑“Default Domain Policy”——选择“计算机配置”——“策略”——“Windows 设置”——“安全设置”——“本地策略”——“用户权限分配”选项——“用户权限分配”选项——“允许本地登录”策略,默认下该测试没有设置。
启用“允许本地登录”策略,将需要限制的用户或者组添加到列表中,本例中允许本地管理员组和域登录到本地计算机,因此需要“Domain Users”组和“administrators”组添加到允许的用户列表中。
测试设置完成后,使用“gpupdate /force”命令刷新新策略。
2.客户端计算机验证
使用刚在本机建立的User用户,无法登录本地登录。
注意:“Domain Users”需要添加到“允许本地登录”策略,否则以域用户无法登录计算机。