iT邦幫忙

0

windows server 如何禁止user or power user 登入後自己加入adminstrators group?

請問先進們,windows server 如何禁止user or power user 登入後自己加入administrators group?
我測試某一個power user登入後 ,可以到電腦管理\使用者管理內將自己加入administrators group

看更多先前的討論...收起先前的討論...
GPO
ssgstw iT邦新手 5 級 ‧ 2018-11-14 11:02:02 檢舉
請問GPO的哪地方可以改呢?
魷魚 iT邦新手 1 級 ‧ 2018-11-14 11:34:48 檢舉
要改變AD群組時,會要求輸入Domain Administrator的帳號密碼去做驗證,可以自己直接加入不太正常.....
ssgstw iT邦新手 5 級 ‧ 2018-11-14 13:05:21 檢舉
我的server沒用AD,這樣有影響嗎?
ninja iT邦研究生 3 級 ‧ 2018-11-14 15:11:53 檢舉
跟AD沒關係吧,你看一下本機Administrator/Administrators有哪些人,例如本機 user 這帳號被設定為 administrator 那他當然就在 administrators 裡了,或者某幾個本機user有另外開權限才可能把自己加入administrators,像我之前公司怕木馬病毒去try密碼,就會把 administrator 設定為權限小一點,然後本機建一個權限最大的管理者但ID不是admin/administrator 防止被try密碼而鎖帳號
0
taiwanbrian
iT邦新手 4 級 ‧ 2018-11-14 10:32:00

我剛才實際測試的結果,用User及Power User群組帳號登入要進入 (管理) 時,就會要administrator的密碼了!

是不是之前曾經用相同帳號進入時有輸入過 administrator 密碼,去檢查一下認證看看。

看更多先前的回應...收起先前的回應...
ssgstw iT邦新手 5 級 ‧ 2018-11-14 11:01:13 檢舉

請問"認證"地方是在?

控制台/使用者帳戶/管理你的認證...

ssgstw iT邦新手 5 級 ‧ 2018-11-14 13:06:01 檢舉

認證中沒看出有異常設定,

ssgstw iT邦新手 5 級 ‧ 2018-11-14 13:31:28 檢舉

https://ithelp.ithome.com.tw/upload/images/20181114/200633218LXM0daPUT.png

https://ithelp.ithome.com.tw/upload/images/20181114/201045638il5eSBP2y.png

是在這裡,看一下~~~

ssgstw iT邦新手 5 級 ‧ 2018-11-14 14:40:47 檢舉

謝謝大家幫忙, 這邊我看應該是屬於正常範圍吧?
https://ithelp.ithome.com.tw/upload/images/20181114/20063321OI2ONc2iob.png

https://ithelp.ithome.com.tw/upload/images/20181114/20063321ra1eObfDSH.png

那就要另找高明了~~~ (無法渡)

0
iT邦新手 2 級 ‧ 2018-11-14 11:42:23

一般正常情況下,
USER跟POWER USER是無法自己加入Admin的,
除非他原本就擁有ADMIN的權限(群組),
或者他剛被移除(出)ADMIN群組未生效~

看更多先前的回應...收起先前的回應...
ssgstw iT邦新手 5 級 ‧ 2018-11-14 13:44:01 檢舉

我想也是這樣規則才對, 但不論我測試在電腦管理\使用者管理此有power user使用者帳號,卻是可以自己到群組加入adminstrators grup.
但有找不出哪開放或可限制!!

h1324512 iT邦新手 5 級 ‧ 2018-11-14 14:19:30 檢舉

換個方式看一下,user擁有那些群組
聽起來是有人在admin加入了user及poweruser
或參考上面taiwanbrian的建議 是不是要記住登入的帳密了

ssgstw iT邦新手 5 級 ‧ 2018-11-14 14:44:27 檢舉

很玄!!
adminstrator只有在一個grup
https://ithelp.ithome.com.tw/upload/images/20181114/20063321p2nXzJjnHH.png

administrators grup只有一個此admin user
https://ithelp.ithome.com.tw/upload/images/20181114/20063321I937HNzFSX.png

iT邦新手 2 級 ‧ 2018-11-19 09:51:48 檢舉

你有針對AD權限控管那台機器去做群組檢查嗎,
這圖片看起來只是針對這台機器的本機權限,
還是目前問題是單機,是的話直接重灌、重設XD,
不然就待其他先進解答了~

0
WilliamHuang
iT邦研究生 1 級 ‧ 2018-11-14 19:58:29

其實就是用工具
拿到
administrator密碼
這樣而已
不然你改密碼
當然別在他那台敲
他就沒戲惹

0
土豆
iT邦新手 4 級 ‧ 2018-11-20 08:54:16

應該是無法自己提升權限才對,不然權限全無意義
就算群組原則應該也不會有這種不合邏輯的設定(讓USER,POWER USER可以自己加入ADMIN)
猜測你這應該是管理漲密洩漏或是有其他非系統上的原因
若你是網域ADMIN把帳密改掉(然後不告訴任何其他人)看還有沒有這種情況

我要發表回答

立即登入回答