FusionAccess 禁止用户退域和修改IP的配置方法

发布时间:  2016-07-22 浏览次数:  644 下载次数:  0
问题描述
Win7 虚拟机,完整复制的private模式,用户有管理员权限,登录虚拟机后可以修改IP和退域,一线要求对这些用户禁止退域和修改IP
处理过程

1  禁止修改IP方法

1       组策略编辑器选择计算机配置->策略->Winodows设置->系统服务->Network Connections

http://support.huawei.com/ecommunity/showimage-10141665-10045883-ba9b9cd711ec5ade959be38f5ba1d6a2.jpg

 

2       勾选定义此策略设置,选择服务启动模式为手动,点击编辑安全设置。

http://support.huawei.com/ecommunity/showimage-10141666-10045883-5d22b42844ab76d4fd16901d2927a55e.jpg

3       在安全设置对话框中,删除所有账号。

http://support.huawei.com/ecommunity/showimage-10141667-10045883-fc7971bd0199375dcd226381de0eedbe.jpg

 

http://support.huawei.com/ecommunity/showimage-10141668-10045883-2fbde19ddd70f3906a7135bbf1c0727f.jpg

4       添加Domain Admins Everyone,其中Domain Admins设置完全控制,Everyone设置读取权限,即Domain Admins可以操作和修改网卡属性,该项用户可以自定义,其他域账号只能查看,不能操作和修改。

http://support.huawei.com/ecommunity/showimage-10141669-10045883-8c07d851538199fcc9bc462b004554d1.jpg

5       点击两次确定,关闭设置和属性对话框。

6       剩下步骤按照说明中的(3-5)步骤进行操作。

7 用户配置->模板管理->开始菜单和任务栏->删除网络图标

          

2  禁止退域方法

1       Default Domain Policy 选择用户配置->策略->管理模板->从“计算机”图标上下文菜单中删除“属性”。

http://support.huawei.com/ecommunity/showimage-10141670-10045883-6cddda54cb9f8df3a128523675e437ca.jpg

2       选择已启用,点击确定。

http://support.huawei.com/ecommunity/showimage-10141671-10045883-121b4f42ef0b19dd9543cd597a217184.jpg

3       剩下步骤按照说明中的(3-5)步骤进行操作。

解决方案

该方案使用AD组策略进行配置,对于组策略的操作,如下所示:

1       登录到AD服务器上,使用gpmc.msc打开组策略编辑器,选择Default Domain Poilcy右键编辑。

http://support.huawei.com/ecommunity/showimage-10141660-10045883-4a90dfcfeafbb6fee10c277962d58c0c.jpg

2       弹出组策略编辑器,以下操作均在组策略编辑器中进行操作。

http://support.huawei.com/ecommunity/showimage-10141661-10045883-f60ad3f10ee415005c58447f8dcb0066.jpg

3       组策略配置完成后,右键Default Domain Policy组策略,点击强制,强制应用组策略。

http://support.huawei.com/ecommunity/showimage-10141662-10045883-2b9375b861aa459237aeb1d50377ea96.jpg

http://support.huawei.com/ecommunity/showimage-10141663-10045883-f80626f35666db45ab909084e3370d61.jpg

4       主备AD上需要执行gpupdate /force强制刷新组策略。

http://support.huawei.com/ecommunity/showimage-10141664-10045883-8276748b0ad53b27777064ab3ec1f705.jpg

5       由于同步组策略有一定的周期,用户虚拟机里面也可以使用gpupdate /force强制同步组策略,同时有的组策略需要重启虚拟机(一般是计算机策略)或者注销虚拟机才能生效(一般是用户策略);如果发现强制同步组策略无法生效,可以先注销,然后重启再登录,观察配置是否生效。

建议与总结
Default Domain Policy是默认域策略,对所有的计算机生效,如果只需要对部分计算机生效,可以通过规划OU,将虚拟机创建到该OU中,新创建一个组策略,链接到该OU,并强制应用,即可针对不同的OU组设置组策略。

END