我在域中拥有两台服务器,运行在 VMWare 上。WS2K8R2 域控制器和 Server 2012 RD 会话主机。我想从任务栏禁用/删除服务器管理器和 powershell 图标,并使用户无法访问它们。
我已经配置组策略计算机配置>策略> Windows 设置>安全设置>文件系统并进行了以下输入:
C:\ProgramData\Microsoft\Windows\开始菜单\程序\附件\Windows PowerShell\Windows PowerShell.lnk
C:\ProgramData\Microsoft\Windows\开始菜单\程序\附件\Windows PowerShell\Windows PowerShell (x86).lnk
C:\ProgramData\Microsoft\Windows\开始菜单\程序\管理工具\服务器管理器.lnk
C:\ProgramData\Microsoft\Windows\开始菜单\程序\管理工具\Windows PowerShell 模块.lnk
从权限中删除创建者和用户并运行 gpupdate。
用户仍可使用这些图标,单击它们即可打开这些应用程序。还有其他 GPO 处于活动状态并可正常工作。
我还需要检查什么吗?
谢谢
答案1
如果用户已经登录,这些快捷方式仍会显示给他们。您需要在他们登录或删除其本地配置文件之前配置此项。新登录的用户不应该看到这些图标。
这将不会不过,限制对这些可执行文件的访问。如果你想让“开始”菜单和任务栏保持整洁,这样做没问题。如果你想限制它们可以启动的内容,你应该使用软件限制策略或通过 GPO 更新 applocker 来将应用程序列入白名单仅有的您希望在该机器上运行什么。
答案2
这样做可以简化你的生活:
转到有问题的 GPO,编辑它并转到以下内容:
User COnfiguration/policies/Administrative Templates/system
启用:不运行指定的 Windows 应用程序
另外,单击“显示不允许的应用程序”,然后添加以下内容:
ServerManager.exe
cmd.exe
powershell.exe
应用并注销,具体取决于服务器的复制,可能需要长达一个小时才能复制,如果失败则执行GPupdate /force
。
这将阻止用户访问服务器管理器,请记住管理员不应成为您正在设置的 GPO 的一部分。