iThome
使用群組原則來管理使用者帳號和登入權限,是企業最常用的功能之一,因為如果使用者具有本機管理員權限的帳號,就可以隨意安裝軟體,並在管理員群組中任意新增成員,造成IT人員管理不易,也容易形成資安漏洞。
如果想要解決這種問題,可以從變更本機管理員帳號名稱和密碼,和將管理員群組加入受限群組原則,限制群組成員名單來著手。要完全避免員工使用本機管理員帳號,除了更改名稱並停用外,還必須變更管理員密碼,而這時就要使用啟動指令碼才能達成目的。
舉例來說,通常一臺已經啟用管理員帳號的XP電腦,它預設的管理員帳號名稱是「Administrator」,而且它還會帶有一個稱為「Administrators」的管理員群組。要避免使用者以具備管理權限的身分登入,我們必須從DC上找到「帳戶:重新命名系統管理員帳戶」,之後按右鍵開啟內容,並重新輸入新的管理員帳戶名稱即可。
然而,即使變更了預設的名稱,不過使用者只要在控制臺內點選使用者帳戶選項,就可以看到新的名稱,所以還必須設定為停用。作法是在前述路徑中找到「帳戶:Administrator帳戶狀態」,同樣以右鍵選單進入「內容」設定,並勾選「已停用」。雖然停用已經可以避免大部分的使用者以管理員帳號登入,不過由於在Windows的設定中,只要是進入安全模式,就會自動以管理員帳號登入,因此還必須變更管理員密碼。
變更密碼的方式較複雜,首先必須自行利用純文字文件,以VB Script編寫變更密碼的指令,並設定副檔名為VBS格式。如果想要套用現成的範本,也可以到微軟的Script Center下載。舉例來說,我們可以將指令碼的檔案名稱設定為ChgAdminPwd.vbs。接下來到「Windows設定」的「指令碼-(啟動/關機)」,利用群組原則的「顯示檔案」鈕來找到這個原則對應的檔案存放資料夾路徑,再把ChgAdminPwd.vbs移到該資料夾,接著按下「新增」來匯入剛才新增的VBS檔。如此一來,等下次使用者登入網域時,就會自動變更管理員密碼。
完成上述設定後,我們可以發現使用者電腦中的本機管理員帳號不但名稱已經變更,也被指定為停用狀態。
-%E7%B6%B2%E9%A0%814-600-1.png)
用群組原則關閉管理員帳號
在電腦設定的安全性選項中,我們可以自訂管理員帳戶的名稱,同時將它設定為停用,以避免使用者以該身分登入。
-%E7%B6%B2%E9%A0%814-600-2.png)
下載修改管理帳號、密碼的語法
微軟TechNet網站的Script Center中,提供了許多可直接套用的程式語法,我們可以在本機帳號管理的類別中,找到多項變更本機管理員帳號密碼的VB Script。
相關報導請參考「用群組原則輕鬆管理使用者電腦」
熱門新聞
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-24
