我在 WORKGROUP 模式(非 NT_Domain、非 ADDS 环境)下运行 Windows 7 Ultimate Edition SP1 x64(Build 7601)。我是这些机器和网络的管理员。我的设置只有几台计算机(总共 4 台,但计划增加更多),所有计算机都配置了相同/相似的设置,位于本地 LAN + 受限 Internet 访问,通过另一台非 Windows 自定义“WRT-ish”路由器设备进行过滤/防火墙保护,没有什么特别的,到目前为止,大多数都是默认的 OOBE 设置,没有本地 GPO(尚未...待定),受限的 Powershell 脚本执行策略,UAC 达到最大值,防火墙默认(在其他地方处理),管理员帐户已禁用。
每台计算机都有多个用户帐户和一个“BOSS”帐户,该帐户是本地管理员组的成员。我遇到的问题是,用户(其中一些是青少年......唉。)默认情况下对计算机设置(包括日志文件)拥有太多访问权限/。日志/.config 文件/WMI/CIM-Cmdlets/MMC/Powershell.exe/netsh.exe/CMD 等...
更糟糕的是(至少从我观察到/理解的情况来看,这让我感到很沮丧),Windows 非常宽容地“假定”我创建的每个新用户现在都是机器的新“所有者”:(为了澄清我的意思,例如,最后一个更改睡眠/电源设置或 Internet 设置 --> CP 中的代理设置的用户,那么这些设置将全局应用,并且会一直“粘住”,直到其他 Bugger 更改它们。无论天气如何,我都通过我的管理员/老板帐户进行设置)
一个讨厌的用户曾经将 IE 主页更改为http://www.b*ttl3guy.com 令人震惊的网站。另一个聪明的用户访问了另一个用户的浏览历史记录,并通过他复制并粘贴到 PowerShell Blue-Window-Console 中的 Powershell 脚本片段访问了她的电子邮件(即使将 exec-policy 设置为 Restricted,这显然只会阻止通过文件执行)。为什么默认情况下允许所有用户收集 WMI 敏感的系统信息?据我所知,至少在大多数 *Nix 系统上,即使是默认的 BASH 也不允许基本用户进行任何文件/目录遍历。此外,您可以限制用户可用的 Shell,并设置允许的最大进程数等限制,还有一个 Skel 模板系统。抱歉,我将停止对 Windows 的抨击......用户显然需要他们的 Candy-Cane Aero Desktop 和 mIRC 以及称为 Win-Amp 的东西......(GroupPolicy 是设置这些限制的最佳方式吗?)...
我意识到这些大多是我自己的错误理解和非 Windows 经验。我只是发现 *Unices 在某种程度上更容易驯服...
现在我可以通过本地 gpedit.msc 为非管理员禁用 CP,但是,用户可以绕过此限制,我确信使用 Win + R 或开始 --> cmd、%Windir%/System32/*.cpl 或 Powershell 等...
我的问题是,我是否可以将 Windows 设置为默认假设我创建的每个新用户都是来自地狱的邪恶恶意恐怖分子,而不是机器的新“所有者”(允许更改电源设置/代理等...)?
我似乎找不到任何不涉及 AD 域的好文章
我的目标是建立一个系统,默认情况下,我创建的新用户不能任意:
- 更改/访问 CP 设置
- 访问 CMD、MMC、Powershell(我意识到 Powershell.exe 实际上并不是让用户访问其内置 .Net Frame-Work 的罪魁祸首)
- 查看应用程序/系统/或任何其他日志
- 访问 WMI 或 Glean System/其他用户文件/日志
- CTL-ALT-Delete-->任务管理器
- 查看/遍历不在“C:\Users\Little-Rugrat”目录下的其他目录
- 启动数千个进程
- 用色情、文件、随机等垃圾字节填充硬盘
*本质上是一个警察国家*:P
我意识到本地组策略可能可以完成所有这些任务,但如果没有所需的域基础结构,在这里扩展性就不好。我必须成为一个“内部网络”,将每个 GP 应用于每台 PC 并保持同步……(我不明白管理模板是如何工作的。我仍在 Technet 上研究这个问题。(.ADM、.ADMX、.INF、.INI、.POL,哪一个???)。有人手头有一个很好的示例或关于此内容的优秀文档链接吗?)
或者也许是我不知道的 FOSS GPO“推送者”......?
任何帮助/信息/评论/指针/示例/示例配置文件都将非常感激。:)
附言:我以前主要只有 Unix/Sun-OS/Solaris/Fedora/GNU-Linux 管理经验。对于任何不正确/误用的 Micro$oft 术语,请见谅。
PPS:我为一个小型青年中心管理系统,但没有太多预算用于 MS-Domain/Server-ADDS Bloat-ware 设置。
我确实在努力遵守 KISS 原则......
谢谢你,
和致敬。
温迪·P·马歇尔
答案1
考虑将机器设置为自助服务终端,请参阅http://blogs.technet.com/b/keithmayer/archive/2012/08/03/building-public-kiosk-stations-with-windows-7-and-windows8-itpro.aspx 是不是因为某些原因每个用户都需要有自己的登录名?