IT关联 by Aker Lu

[转载]组策略 之统一修改域中计算机的本地管理员账户和密码和受限制组

转载自: https://cloud.tencent.com/info/ee8323f98c388825c28b4608b6bd01ab.html

目的:不能通过本地管理员账户登陆计算机

一、修改管理员名称

  建立一个GPO,在计算机策略—windows设置—-安全设置—–本地策略—–安全选项——找到“账户:重命名系统管理员账户”——修改为想要的名称。


二、修改管理员密码

在GPO中找到,计算机策略—windows设置—-脚本(启动/关机)—选择“启动”—-添加相应的脚本文件。

有两个注意事项:

  1. 脚本文件可以用批处理等格式,例如修改密码就可以用个记事本写入:NET USER ADMINISTRATOR(用户名自定义) 424~WER(密码自定义)   然后把扩展名改为.BAT格式即可。
  2. 脚本文件的存放位置存放在默认的打开位置,不要浏览找到所写脚本,可以将脚本拷贝到打开位置即可。

    还有一种情况是,如果本地计算机含有多个不同账户的管理员该如何限制他们那?这时就需要使用到GPO中 “受限制的组”

   受限制组作用

  1. 集中统一管理域中的组和用户.在域生产环境中,为了将计算机管理权限统一,可以用该策略统一将最高管理员组administrators组指定包含哪些用户。把原来有管理员权限帐户管理权限收回。
  2. 控制域中计算机某个组的成员,可以用来委派某个用户成为某个部门计算机机的管理员  
  1. 可以在受限制的组中添加只有某一个组或几个组属于本地管理员权限,这样即使别的用户加入了本地管理员组,在重启后也会自动删除。例如,只允许域管理员组(domain admins)属于ADMINISTRATORS组:  
如图,管理员组里面只包含了域管理员
客户端本地管理员组已包含域管理员。
把本地用户加入到本地管理员组

在刷新组策略后,本地用户已经不属于管理员组。

本文原作者烟台小崔,原文链接http://blog.51cto.com/seawind/1861451

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注