我要求所有部门将他们的 XP 电脑全部换成新电脑。我怀疑他们中有些人还在使用 XP。我无法亲自检查所有部门。
在 Microsoft 世界(Microsoft 域服务器)中,是否可以创建一个策略或规则来列出和/或阻止其域中的所有 XP 机器或 XP 用户?
答案1
当然可以。创建一个 GPO,其中 WMI 过滤器的作用域为 Windows XP,并将拒绝以交互方式/本地方式登录的权限应用于 DOMAIN\Domain 用户,这样应该可以阻止他们登录。虽然您可能会收到一些大声喧哗的回应,但如果您担心更高级别的管理层会对此不满,请小心。
但是,他们实际上无法“隐藏”这一点。操作系统包含在计算机对象中,您可以执行 powershell 查询来检测仍报告为该 Windows 版本的系统。我记得,如果他们使用安装新操作系统,这个值应该会更新。
一个 powershell 脚本会查找每个计算机对象的属性“操作系统”和“操作系统版本”的值,它会告诉您需要知道的信息。例如,在我的工作站上,这些返回:操作系统:Windows 8.1 Enterprise 操作系统版本:6.3 (9600)(主版本、次版本和内部版本号)
这有帮助吗?
答案2
您不仅可以拒绝登录,还可以使用 Powershell 中的一行代码禁用域中的那些旧 XP 帐户:
Get-ADComputer -Filter * -SearchBase "OU=MyDepartment,DC=domain,DC=net" -Properties OperatingSystem | ?{$_.OperatingSystem -match "XP"} | Set-ADComputer -Enabled:$false
当他们尝试登录时,他们会看到一条消息,提示计算机已失去与域的信任关系。