在Windows Server 2003 / XP局域网上,非pipe理域用户可以pipe理本地计算机的用户和组,包括更改pipe理员密码并使其成为本地计算机的pipe理员。
这怎么可能,我该如何预防呢?
通过检查机器上的本地pipe理员组来确认员工不是本地pipe理员。
您应该可以通过创build操作本地pipe理员安全组的GPO来删除这些内容。 这可以使用GPO中的“受限制的组”部分完成:
计算机configuration – >策略 – > Windows设置 – >安全设置 – >受限制的组
(请注意,这将有效覆盖本地pipe理员组,因此请确保您包括任何必须成为本地pipe理员的人员)
或者,如果您已经设置了组策略首选项,那么也可以使用它来获得更大的灵活性。