禁止用户退域和修改IP的配置方法

转自：http://support.huawei.com/ecommunity/bbs/10258406.html

 

【案例类型】：配置类

【关 键 词】：禁止用户退域和修改IP

【适用版本】：FusionAccess 所有版本

【问题现象】：

Win7 虚拟机，完整复制的private模式，用户有管理员权限，登录虚拟机后可以修改IP和退域，一线要求对这些用户禁止退域和修改IP。

【告警信息】：不涉及

【说明】：

该方案使用AD组策略进行配置，对于组策略的操作，如下所示：

（1）       登录到AD服务器上，使用gpmc.msc打开组策略编辑器，选择Default Domain Poilcy右键编辑。

（2）       弹出组策略编辑器，以下操作均在组策略编辑器中进行操作。

（3）       组策略配置完成后，右键Default Domain Policy组策略，点击强制，强制应用组策略。

（4）       主备AD上需要执行gpupdate /force强制刷新组策略。

（5）       由于同步组策略有一定的周期，用户虚拟机里面也可以使用gpupdate /force强制同步组策略，同时有的组策略需要重启虚拟机（一般是计算机策略）或者注销虚拟机才能生效（一般是用户策略）；如果发现强制同步组策略无法生效，可以先注销，然后重启再登录，观察配置是否生效。

 

【配置方法】：

1、  禁止修改IP方法

（1）       组策略编辑器选择计算机配置->策略->Winodows设置->系统服务->Network Connections。

 

（2）       勾选定义此策略设置，选择服务启动模式为手动，点击编辑安全设置。

（3）       在安全设置对话框中，删除所有账号。

 

（4）       添加Domain Admins 和 Everyone，其中Domain Admins设置完全控制，Everyone设置读取权限，即Domain Admins可以操作和修改网卡属性，该项用户可以自定义，其他域账号只能查看，不能操作和修改。

（5）       点击两次确定，关闭设置和属性对话框。

（6）       剩下步骤按照说明中的（3）-（5）步骤进行操作。

2、  禁止退域方法

（1）       Default Domain Policy 选择用户配置->策略->管理模板->从“计算机”图标上下文菜单中删除“属性”。

（2）       选择已启用，点击确定。

（3）       剩下步骤按照说明中的（3）-（5）步骤进行操作。

【总结&建议】：Default Domain Policy是默认域策略，对所有的计算机生效，如果只需要对部分计算机生效，可以通过规划OU，将虚拟机创建到该OU中，新创建一个组策略，链接到该OU，并强制应用，即可针对不同的OU组设置组策略。