禁止用户退域和修改IP的配置方法
转自:http://support.huawei.com/ecommunity/bbs/10258406.html
【案例类型】:配置类
【关 键 词】:禁止用户退域和修改IP
【适用版本】:FusionAccess 所有版本
【问题现象】:
Win7 虚拟机,完整复制的private模式,用户有管理员权限,登录虚拟机后可以修改IP和退域,一线要求对这些用户禁止退域和修改IP。
【告警信息】:不涉及
【说明】:
该方案使用AD组策略进行配置,对于组策略的操作,如下所示:
(1) 登录到AD服务器上,使用gpmc.msc打开组策略编辑器,选择Default Domain Poilcy右键编辑。
(2) 弹出组策略编辑器,以下操作均在组策略编辑器中进行操作。
(3) 组策略配置完成后,右键Default Domain Policy组策略,点击强制,强制应用组策略。
(4) 主备AD上需要执行gpupdate /force强制刷新组策略。
(5) 由于同步组策略有一定的周期,用户虚拟机里面也可以使用gpupdate /force强制同步组策略,同时有的组策略需要重启虚拟机(一般是计算机策略)或者注销虚拟机才能生效(一般是用户策略);如果发现强制同步组策略无法生效,可以先注销,然后重启再登录,观察配置是否生效。
【配置方法】:
1、 禁止修改IP方法
(1) 组策略编辑器选择计算机配置->策略->Winodows设置->系统服务->Network Connections。
(2) 勾选定义此策略设置,选择服务启动模式为手动,点击编辑安全设置。
(3) 在安全设置对话框中,删除所有账号。
(4) 添加Domain Admins 和 Everyone,其中Domain Admins设置完全控制,Everyone设置读取权限,即Domain Admins可以操作和修改网卡属性,该项用户可以自定义,其他域账号只能查看,不能操作和修改。
(5) 点击两次确定,关闭设置和属性对话框。
(6) 剩下步骤按照说明中的(3)-(5)步骤进行操作。
2、 禁止退域方法
(1) Default Domain Policy 选择用户配置->策略->管理模板->从“计算机”图标上下文菜单中删除“属性”。
(2) 选择已启用,点击确定。
(3) 剩下步骤按照说明中的(3)-(5)步骤进行操作。
【总结&建议】:Default Domain Policy是默认域策略,对所有的计算机生效,如果只需要对部分计算机生效,可以通过规划OU,将虚拟机创建到该OU中,新创建一个组策略,链接到该OU,并强制应用,即可针对不同的OU组设置组策略。