我在管理我域内的计算机时遇到了麻烦。
登录到我们的 DC,我右键单击计算机,然后选择管理:连接到加入域的计算机(Windows 7)后,在本地用户和组上我有一个红叉,并显示错误,表示我无权访问它。
我怀疑本地用户(拥有本地管理员权限 - 不要问!)对其进行了一些配置。
如果我无法物理访问这台计算机,我有哪些选择?
- 如果我从域中禁用该计算机 - 这样可以吗?
- 有启动脚本吗?
我的 DC 是 W2K3 R2 他的系统是 W7 64 位
答案1
用户可能将“DOMAIN\Domain Admins”的默认嵌套移除到本地“Administrators”组中。由于用户在 PC 上拥有“管理员”权限,因此他们可以这样做。
您可以使用“受限组”策略来“强制”这种嵌套,但用户始终可以使用虚拟“撬棍”进入其计算机的注册表并破坏组策略处理(因为他们拥有管理员权限)。他们很可能不会这样做,但他们可以这样做。
禁用计算机对象将阻止任何人在连接到网络时使用域帐户登录 PC。不过,断开网线、使用缓存的凭据登录并重新连接网线是小菜一碟。
这听起来像是管理问题,而不是技术问题。假设用户确实这样做了,我认为将这个问题上报管理链(因为用户实际上正在“破坏” IT 资源)可能是您最好的行动方案。试图通过技术“军备竞赛”来“修复”它对您和公司来说都是双输的局面。计算机不属于用户,他们不应该像对待用户那样对待它。
答案2
我知道这个帖子非常老了,但这实际上是一个非常简单的修复。RPC 有很多缺点。其中之一允许计算机管理远程访问,但这与远程注册表相关联。只需在您的域中的工作站上启用远程注册表即可。