用于禁用服务器管理器图标的 GPO 不会限制用户访问

用于禁用服务器管理器图标的 GPO 不会限制用户访问

我在域中拥有两台服务器,运行在 VMWare 上。WS2K8R2 域控制器和 Server 2012 RD 会话主机。我想从任务栏禁用/删除服务器管理器和 powershell 图标,并使用户无法访问它们。

我已经配置组策略计算机配置>策略> Windows 设置>安全设置>文件系统并进行了以下输入:

C:\ProgramData\Microsoft\Windows\开始菜单\程序\附件\Windows PowerShell\Windows PowerShell.lnk

C:\ProgramData\Microsoft\Windows\开始菜单\程序\附件\Windows PowerShell\Windows PowerShell (x86).lnk

C:\ProgramData\Microsoft\Windows\开始菜单\程序\管理工具\服务器管理器.lnk

C:\ProgramData\Microsoft\Windows\开始菜单\程序\管理工具\Windows PowerShell 模块.lnk

从权限中删除创建者和用户并运行 gpupdate。

用户仍可使用这些图标,单击它们即可打开这些应用程序。还有其他 GPO 处于活动状态并可正常工作。

我还需要检查什么吗?

谢谢

答案1

如果用户已经登录,这些快捷方式仍会显示给他们。您需要在他们登录或删除其本地配置文件之前配置此项。新登录的用户不应该看到这些图标。

将不会不过,限制对这些可执行文件的访问。如果你想让“开始”菜单和任务栏保持整洁,这样做没问题。如果你想限制它们可以启动的内容,你应该使用软件限制策略或通过 GPO 更新 applocker 来将应用程序列入白名单仅有的您希望在该机器上运行什么。

答案2

这样做可以简化你的生活:

转到有问题的 GPO,编辑它并转到以下内容:

User COnfiguration/policies/Administrative Templates/system

启用:不运行指定的 Windows 应用程序

另外,单击“显示不允许的应用程序”,然后添加以下内容:

ServerManager.exe
cmd.exe
powershell.exe

应用并注销,具体取决于服务器的复制,可能需要长达一个小时才能复制,如果失败则执行GPupdate /force

这将阻止用户访问服务器管理器,请记住管理员不应成为您正在设置的 GPO 的一部分。

相关内容