本文出自Simmy的个人blog:西米在线 http://simmyonline.com/archives/212.html
 
上周Boss forward了一份Global Project给我跟Tom跟,要求是在SZ做test确保这份GPO在local的应用是没问题的,顺便查查看哪里出问题,哪些地方需要修改。看来Boss也认为我是个搞技术的人,可以发挥点作用。呵呵,难得有project跟,我当然是全力以赴,做到最好啦。
 
自从去年考完MCSE后,我的知识就一直荒废着,没有用武之地,这次看来可以用上一点了。
 
这个project最主要是要求删去user的administrator的权限,由于公司文化及历史原因,以前用户都具有admin的权限,这样导致用户电脑出问题的几率大增,此次的GPO设计,限制也不是非常多,看来boss们不想限制的太死。
 
Boss给的deadline是今天,刚才终于完成测试,给Boss发了report。
 
在这过程中,自己也学到了不少,也巩固了不少知识。
 
小结一下:
1. Computer 下之GPO要Link给Computer而不是user才能生效。
2.Computer,只要是入域的会被server自动发现,然后存在AD的computer folder下。
3.GPO的link status 要为link时才会生效。
4.NT AUTHORITY\INTERACTIVE 会自动交互权限,使user自动具有admin权限。
5.Remove Local Administrator GPO
Computer Configuration (Enabled)
Windows Settings
Security Settings
Restricted Groups
Group Members Member of
BUILTIN\Administrators, test\Domain Admins, test\Administrator, Administrator
即使是有interative帐户admin也会被清除
6.Computer Configuration (Enabled)
Windows Settings
Security Settings
File System
%AllUsersProfile%\Desktop
在这个位置可对允许执行程序的文件夹进行设定。
 
做测试的有用的命令:
1.gpupdate /force      server及client端执行,update GPO
2.rsop.msc  client端检验GPO是否生效
 
MS的东西有时不能按逻辑分析,reboot就是了。