转载:限制有管理员权限的用户修改计算机名和退出域
自:https://www.cnblogs.com/oliverary/articles/5407987.html
通过组策略禁用本地管理员用户修改计算机
一、禁用本地用户账户管理
1.限制控制台用户账户管理
2.限制控制面板用户账户管理(后缀.cpl可省略)
二、禁用系统属性功能
解决方法1:通过组策略来禁用修改计算机名
通过创建组策略将禁用使用系统属性,在适当的OU创建新的组策略:
"用户配置"—>"管理摸板"—>"桌面"—>把"从'我的电脑'上下文菜单中移除属性选项"设置为"启用"
解决方法2:通过修改netid.dll禁用修改计算机名
相对方法1,通过修改netid.dll的许可会更高级一些。因为这需要您管理的用户的水平高一些
查看当前的许可
C:\>cacls %SystemRoot%\system32\netid.dll
C:\WINDOWS\system32\netid.dll BUILTIN\Users:R
BUILTIN\Power Users:R
BUILTIN\Administrators:F
NT AUTHORITY\SYSTEM:F
C:\>cacls %SystemRoot%\system32\netid.dll /G "NT AUTHORITY\SYSTEM":F
是否确定(Y/N)?Y
处理的文件: C:\WINDOWS\system32\netid.dll
这样系统属性中就没有“计算机名”选项卡了
查看修改后的许可
C:\>cacls %SystemRoot%\system32\netid.dll
C:\WINDOWS\system32\netid.dll NT AUTHORITY\SYSTEM:F
恢复原来的许可
C:\>cacls %SystemRoot%\system32\netid.dll /G "BUILTIN\Users":R "BUILTIN\Power Us
ers":R "BUILTIN\Administrators":F "NT AUTHORITY\SYSTEM":F
是否确定(Y/N)?Y
处理的文件: C:\WINDOWS\system32\netid.dll
查看恢复的许可
C:\>cacls %SystemRoot%\system32\netid.dll
C:\WINDOWS\system32\netid.dll BUILTIN\Users:R
BUILTIN\Power Users:R
BUILTIN\Administrators:F
NT AUTHORITY\SYSTEM:F
为了方便使用,不用回答Yes或No可以使用两种脚本来开启或禁用计算机名选项卡
1、隐藏计算机名选卡.bat
echo y|cacls %SystemRoot%\system32\netid.dll /G "NT AUTHORITY\SYSTEM":F
2、恢复计算机名选卡.bat
echo y|cacls %SystemRoot%\system32\netid.dll /G "BUILTIN\Users":R "BUILTIN\Power Users":R "BUILTIN\Administrators":F "NT AUTHORITY\SYSTEM":F
这样可以通过计算机的启动脚本来达到修改netid.dll权限的目的
总结
解决方案2更好一些,因为只影响一个选项卡而不是所有的系统属性。