防止本地pipe理员closuresRDS服务器
我pipe理的客户端之一在用户login后运行的Windows Server 2008 R2服务器上运行RDS环境。 我需要阻止用户允许应用程序重新启动这些服务器,踢球者是他们都是本地pipe理员(由于他们运行的应用程序的要求)。 你会推荐哪些GP来解决这个问题? 我目前有以下设置:
计算机configuration>策略> Windows设置>安全设置>本地策略>用户权限分配>closures系统。
只允许域pipe理员closures系统,我相信这只适用于本地closures,而不是远程。
- 通过GPO更改本地pipe理员密码
- 企业希望MSI卸载以前的产品版本吗?
- 基于计算机帐户安全组筛选GPO
- 为什么组策略脚本对话框中没有“powershell”选项卡?
- 哪个GPO使我的域控制器成为我客户的DNS服务器?
是的,此策略确定哪些用户在本地login到计算机可以将其closures。
请参阅说明选项卡上的Explain :
你也可以看看在这个位置的另一个政策(即在用户权利分配:) – 强制从远程系统关机 。
pipe理员是默认成员。
从两个策略中删除pipe理员 – 将不允许他们closuresRDS主机,无论是本地还是远程。
您不能有效地拒绝本地pipe理员的权利,因为无论您应用什么GPO,都可以通过编辑registry至less暂时覆盖它。 他们也可以从域中删除计算机。
一般而言,您不应在需要自上而下pipe理控制的环境中使用或分配本地pipe理员帐户。 最好的方法是将这些密码保存在一个数据库(或为此目的而devise的软件,例如我曾经使用的日立ID特权访问pipe理器)中; 只有在需要重新build立域名关系或类似关系时才应使用密码,并且使用这些密码应该是可审计的。
不幸的是,你的应用程序需要这样的访问。 你可以考虑确定它实际需要的访问权限,然后给它。 大多数应用程序并不需要pipe理员访问
如果您唯一的目标是防止无意中closures,您当然可以设置Local Security Policy/Local Policies/User Rights Assignment/Shut Down the System以排除它们,但请注意,这不会阻止知识丰富的用户故意closures系统。 我相信这个策略适用于RDP交互会话,但不适用于shutdown命令(可以select远程主机); 这是Force shutdown from a remote system GPO选项Force shutdown from a remote system的域。