我在 Windows 2008 Server 上设置了远程桌面服务,但权限方面存在一些问题。我创建了一个 GPO,从“开始”菜单中删除了“管理工具”,但普通用户仍然可以通过普通控制面板访问这些工具。不过,用户只能读取内容,而不能更改任何内容。
需要注意的一点是,该服务器还运行着域控制器,这并不推荐,想要删除从 DC 读取内容的能力。
消除阅读能力的最佳做法是什么?
答案1
虽然不建议您采用这种情况,但如果您必须允许用户通过 RDS 访问服务器,那么您应该确保用户无权访问控制面板,您可以通过 GPO 执行此操作:
用户配置|策略|管理模板|控制面板|禁止访问控制面板
答案2
如果您的用户不是域或本地管理员,请不要担心。他们无法使用这些工具造成损害。Active Directory 站点和服务中可见的任何内容都不会暴露任何内容。
为了测试这一点,请创建一个新用户,但不要对其执行任何操作,如果人力资源部走进您的办公室并告诉您在域中设置一名新员工,您不会这样做。
如果您的用户有本地管理员,那么无论,他们将能够你不想要的东西。