我目前在一个域上管理多个环境。我们开始发布 MMC,并授予本地管理员访问客户 IT 联系人的权限。这包括 ADUC 和事件查看器等。
有人知道如何删除 MMC 中的连接到其他计算机选项吗?我们希望锁定域上的浏览功能,以便一个客户端无法在 AD 中看到另一个客户端的服务器?
答案1
我认为您无法删除连接到其他选项。即使可以,如果一个用户创建了一个控制台并通过闪存将其带入您的网络,会发生什么情况?
您必须在服务器的权限和权利范围内工作。
答案2
您需要适当地委派权限,或将这些客户端划分到子域中。仅仅因为您在 MMC 管理单元中禁用了该功能,并不会阻止它们执行类似Get-ADComputer -Filter *powershell 的操作或使用类似的 dsquery 命令。
如果只修补一个洞,那么有 100 个洞的栅栏是不牢固的。