我正在寻找一种严格限制 Windows 服务器上用户帐户访问的方法。有没有办法以编程方式做到这一点?我发现了一些选项,比如强制用户在 explorer.exe 以外的程序中启动,这样它就是他们唯一可以访问的程序,一旦他们退出,他们就会注销。我希望他们能够做一些不同的事情:运行几个不同的应用程序、控制打印机设置以及启动/停止几个服务。我的要求是不是太多了?我准备编写一个应用程序来完成所有这些事情,但我只是想知道是否有办法仅使用预先存在的 Windows 设置来创建一个受限帐户。我可以用 VB6、VB 脚本、批处理文件或 C++ 来编写它。我想如果我要编写应用程序来做所有事情,我需要一种方法来以编程方式更改受限帐户的启动。
答案1
没有必要为此编写自定义 shell,尤其是因为即使是受限制的 shell 也可以通过多种方式绕过。你可以做的是
- 使用白名单软件限制策略设置用户可以运行的应用程序
- 设置打印机的权限允许进行相应的控制(请注意,没有真正安全的方法让“打印机管理员”安装新的打印机驱动程序 - 安装驱动程序的能力本质上会带来危害系统的能力)
- 对单个服务应用权限(包括启动/停止权限)
答案2
你想看看组策略。我假设这是在域中,否则您必须在每个服务器上执行此操作。您应该能够完成大部分操作,而无需编写自定义脚本,尽管旧版本的 GPO 不如当前 GPO 全面。
顺便问一下,您使用这些旧版本的操作系统有什么理由吗?