用户使用批处理文件禁用管理员共享

用户使用批处理文件禁用管理员共享

我们网络上的一位用户使用每次计算机启动时运行的批处理文件禁用了管理共享。我想在用户不知情的情况下禁用它。我还想远程随意执行此操作。这可能吗?

该用户喜欢利用他们的知识来规避我们公司的可接受使用政策。

有问题的机器是 Windows 7 Pro 32 位。我们的域使用 Server 2003。

答案1

虽然可能存在技术解决方案,但这实际上更多的是政策/人力资源问题。将情况告知该用户的经理以及人力资源部门。如果他们对这种情况视而不见,那么您将无能为力。在这种情况下,他们暗中纵容他的行为,即使您禁用了他关闭管理员共享的能力,您也可能会听到此事并被要求重新允许该用户继续其行为。

该用户是否具有管理权限?(我假设是的)除了删除这些权限之外,我不确定如何阻止他禁用管理员共享。

答案2

这不是一个非常优雅的解决方案,但您可以创建一个计划任务来重新启用管理共享,并让它每小时运行一次。如果他有权限添加/删除计划任务,那么他也可以禁用该任务,但您也可以使用组策略禁止他访问该特定的 MMC 管理单元。(Windows 7 中的计划任务是 MMC 管理单元,而 XP 和 Server 2003 中则不是,因此您可能需要从另一台 Windows 7 计算机而不是 DC 进行这些配置,因为我认为任务插件不会出现在 DC 上。)

答案3

无论这是否是人力资源问题,问题仍然存在,即用户有能力规避政策。虽然联系人力资源是清单上的一项必须做的(用户是故意这样做的),但清单上的下一项是确保这种情况不会再次发生。

至于管理层让您改回设置,我发现这种情况极不可能,因为用户实际上是让他们的机器“无法管理”,因此现在这是一个漏洞。

首先,确保用户不是计算机的管理员。其次,您可以强制执行组策略以禁用用户在其脚本中使用的任何程序,以禁用这些共享。

http://blog.thejoshmeister.com/2004/12/disabling-applications-with-active.html

相关内容