在 Windows Server 2003 / XP LAN 上,非管理域用户能够管理本地计算机的用户和组,包括更改管理员密码并使自己成为本地计算机的管理员。
这怎么可能呢?我该如何防止呢?
答案1
通过检查当地的机器上的管理员组。
您应该能够通过创建一个操纵本地管理员安全组的 GPO 来删除这些。这可以使用 GPO 中的“受限组”部分来完成:
计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 受限组
(注意:请注意,这将有效覆盖本地管理员组,因此请确保包括所有需要成为本地管理员的人员)
或者,如果您已经设置了组策略首选项,您也可以使用它来获得更大的灵活性。