目的:不能通过本地管理员账户登陆计算机
一、修改管理员名称
建立一个GPO,在计算机策略---windows设置----安全设置-----本地策略-----安全选项------找到“账户:重命名系统管理员账户”------修改为想要的名称。
<a href="http://s1.51cto.com/wyfs02/M02/88/AA/wKioL1f_GZCQzrJTAAHTythVaIY717.jpg-wh_500x0-wm_3-wmp_4-s_4175449042.jpg" target="_blank"></a>
二、修改管理员密码
在GPO中找到,计算机策略---windows设置----脚本(启动/关机)---选择“启动”----添加相应的脚本文件。
<a href="http://s5.51cto.com/wyfs02/M01/88/AA/wKioL1f_GmizWp8lAAEQOx6QBSA896.png-wh_500x0-wm_3-wmp_4-s_4105455605.png" target="_blank"></a>
有两个注意事项:
脚本文件可以用批处理等格式,例如修改密码就可以用个记事本写入:
NET USER ADMINISTRATOR(用户名自定义) 424~WER(密码自定义) 然后把扩展名改为.BAT格式即可。
脚本文件的存放位置存放在默认的打开位置,不要浏览找到所写脚本,可以将脚本拷贝到打开位置即可。
还有一种情况是,如果本地计算机含有多个不同账户的管理员该如何限制他们那?这时就需要使用到GPO中 "受限制的组"
受限制组作用
控制域中计算机某个组的成员,可以用来委派某个用户成为某个部门计算机机的管理员
<a href="http://s4.51cto.com/wyfs02/M02/88/AA/wKioL1f_HO_hkiBTAABv4_0sPkQ133.png-wh_500x0-wm_3-wmp_4-s_1079452590.png" target="_blank"></a>
可以在受限制的组中添加只有某一个组或几个组属于本地管理员权限,这样即使别的用户加入了本地管理员组,在重启后也会自动删除。例如,只允许域管理员组(domain admins)属于ADMINISTRATORS组:
(如下图,管理员组里面只包含了域管理员)
<a href="http://s1.51cto.com/wyfs02/M01/88/AE/wKiom1f_Kc_RsC_DAADpFg7_-f8737.png-wh_500x0-wm_3-wmp_4-s_4258578488.png" target="_blank"></a>
客户端本地管理员组已包含域管理员。
<a href="http://s3.51cto.com/wyfs02/M01/88/AA/wKioL1f_HeeAr-iwAADlAOQrRYA465.png-wh_500x0-wm_3-wmp_4-s_771251907.png" target="_blank"></a>
<a href="http://s4.51cto.com/wyfs02/M00/88/AE/wKiom1f_JbDy_UluAAAXb_vN0OM702.png-wh_500x0-wm_3-wmp_4-s_3271550912.png" target="_blank"></a>
把本地用户加入到本地管理员组:
在刷新组策略后,本地用户已经不属于管理员组。
本文转自 烟台小崔 51CTO博客,原文链接:http://blog.51cto.com/seawind/1861451