因为需要,用户都有本地机的管理员权限,有用户自己就把机器退出Windows域,干自己想干的事情,然后在来找你帮他加入域,因为已经限制普通用户把PC加入域。
 
     现在主流的操作系统式XP和Windows7,退出域是在系统属性里面的计算机名项目的更改。当你的电脑在域内安装了域的计算机电子证书,这个选项就变灰了,其实它的更改是调用\WINDOWS\system32\netid.dll文件执行,在Windows7下,该文件只有安装信任用户才有权限改变,而这一用户在本地组里面根本就没有,这也是一些人撰文说到Windows7下无法改变的原因,因为没有权限去改了,其实不是没有办法的,作为管理员权限,可以剥夺文件的所有权,把所有权夺过来就可以随意编辑权限了,我亲自试验过,是可以剥夺所有权的。这也是移动硬盘即使是使用NTFS文件格式,加了权限也不安全的原因。
    那么这一招就变得不是很有效了,一是域里面的电脑何其之多,一台一台改太麻烦了。另外,拥有本地管理员权限的用户如果知道这个细节,去把该文件的权限改回来不就成了。
 
    那就需要想其它方法。域的组策略是可以抑制非域管理员权限的利器。以Windows2008的组策略为例,用户配置\策略\管理模板\桌面\从“计算机”图标上下文菜单中删除“属性”项目启用,启用了这个策略,我的电脑鼠标右键将会把属性项目去掉,调用netid.dll的开启文件没了,当然也就无法调用了。同时在控制面板里的系统项目XP直接就无效了,在Windows7里面虽然可以打开,但是想要进一步去改计算机名就会没有任何反应。这样做就可以控制域用户了。
 
    那这样做就保险了?非也!我上面说的是可以控制域用户了,与之相对应的就是本地管理员,域策略管不着。拥有本地管理员权限的域账号是可以添加本地管理员账号的。这其实就很不好办了,只能是权宜之计了,能想到这一点的人对域也是很熟悉的,对付这样的人就很困难了。不让访问用户管理界面。还是组策略,用户配置\策略\管理模板\Windows 组件/Microsoft 管理控制台/受限的/许可的管理单元/扩展管理单元,把本地用户和组禁用掉,用户配置\策略\管理模板\控制面板\隐藏指定的“控制面板”项\不允许的“控制面板”项的列表添加Microsoft.UserAccounts这是Windows7里面的在控制面板里显示管理用户的项目,nusrmgr.cpl是XP里面的面板名,分别对应Windows7和XP,另外在用户配置\策略\管理模板\系统\不要运行指定的 Windows 应用程序指定不允许运行的程序,Netplwiz.exe,这个是Windows7下依然可以调出用户管理的程序。不过在XP下就没办法了,如果直接执行nusrmgr.cpl是可以运行的,不允许运行程序里面只能是可执行文件,nusrmgr.cpl无效。
    所以说还是有漏洞,其实即便是Windows7禁止执行了文件,但是在命令行下依然是可以添加本地管理员账号的。在把cmd禁用,哈哈,不过XP就不好办了。