目的:不能通過本地管理者賬戶登陸計算機
一、修改管理者名稱
建立一個GPO,在計算機政策---windows設定----安全設定-----本地政策-----安全選項------找到“賬戶:重命名系統管理者賬戶”------修改為想要的名稱。
<a href="http://s1.51cto.com/wyfs02/M02/88/AA/wKioL1f_GZCQzrJTAAHTythVaIY717.jpg-wh_500x0-wm_3-wmp_4-s_4175449042.jpg" target="_blank"></a>
二、修改管理者密碼
在GPO中找到,計算機政策---windows設定----腳本(啟動/關機)---選擇“啟動”----添加相應的腳本檔案。
<a href="http://s5.51cto.com/wyfs02/M01/88/AA/wKioL1f_GmizWp8lAAEQOx6QBSA896.png-wh_500x0-wm_3-wmp_4-s_4105455605.png" target="_blank"></a>
有兩個注意事項:
腳本檔案可以用批處理等格式,例如修改密碼就可以用個記事本寫入:
NET USER ADMINISTRATOR(使用者名自定義) 424~WER(密碼自定義) 然後把擴充名改為.BAT格式即可。
腳本檔案的存放位置存放在預設的打開位置,不要浏覽找到所寫腳本,可以将腳本拷貝到打開位置即可。
還有一種情況是,如果本地計算機含有多個不同賬戶的管理者該如何限制他們那?這時就需要使用到GPO中 "受限制的組"
受限制組作用
控制域中計算機某個組的成員,可以用來委派某個使用者成為某個部門計算機機的管理者
<a href="http://s4.51cto.com/wyfs02/M02/88/AA/wKioL1f_HO_hkiBTAABv4_0sPkQ133.png-wh_500x0-wm_3-wmp_4-s_1079452590.png" target="_blank"></a>
可以在受限制的組中添加隻有某一個組或幾個組屬于本地管理者權限,這樣即使别的使用者加入了本地管理者組,在重新開機後也會自動删除。例如,隻允許域管理者組(domain admins)屬于ADMINISTRATORS組:
(如下圖,管理者組裡面隻包含了域管理者)
<a href="http://s1.51cto.com/wyfs02/M01/88/AE/wKiom1f_Kc_RsC_DAADpFg7_-f8737.png-wh_500x0-wm_3-wmp_4-s_4258578488.png" target="_blank"></a>
用戶端本地管理者組已包含域管理者。
<a href="http://s3.51cto.com/wyfs02/M01/88/AA/wKioL1f_HeeAr-iwAADlAOQrRYA465.png-wh_500x0-wm_3-wmp_4-s_771251907.png" target="_blank"></a>
<a href="http://s4.51cto.com/wyfs02/M00/88/AE/wKiom1f_JbDy_UluAAAXb_vN0OM702.png-wh_500x0-wm_3-wmp_4-s_3271550912.png" target="_blank"></a>
把本地使用者加入到本地管理者組:
在重新整理組政策後,本地使用者已經不屬于管理者組。
本文轉自 煙台小崔 51CTO部落格,原文連結:http://blog.51cto.com/seawind/1861451