如何通过2003的组策略限制局域网内用户建立共享文件夹呢
请问各位网管三个问题:
1、如何通过2003的组策略限制局域网内用户建立共享文件夹呢.同时不能限制用户共享打印机及安装软
件.
2、如何实现禁止用户用本地登陆登陆到计算机。
3、如何限制局域网内用户不登陆域就无法访问WEB同时外网来宾用户可以正常访问WEB(局域网有一台三
层交换机其它的是二层的。通过一台路由连接外网。网内网外均为静态IP及路由
针对以上三点做过如下实验
1、域用户建立后是在服务器DOMAIN USERS这个组里的。而用户登陆后是在本机的USERS这个组里。能限
制共享但安装不了软件。把用户提升到POWER USERS组里就不能限制共享了。但能安装软件了。应该不是
策略生效了.而是因为用户权限不够才不能共享的。2003服务器的组策略里:用户管理--,管理模板--共
享文件夹--允许发布共享文件夹禁止掉后用户依然能共享。后又在组策略---计算机配置---管理模板--
网络--网络连接---windows防火墙----域配置文件
中找到一个允许文件和打印机共享例外禁用然后.把
保护所有网络连接及不允许例外启用.在组织单元中做无效后在域上直接做的.这样的话共享及打印机
都禁止了。.有办法让用户只启用共享打印机而只限制用户共享文件夹吗?
2、 网上的朋友说:用策略禁止本地登陆。可以建立一个ou,然后将需要控制的计算机账户放置其中,
然后在此ou上设置策略,在计算机安全策略中直接指定 禁止本地登陆 。但是这么做有个问题,我们设
想一个场景:如果客户端套用到这个策略,碰巧当前计算机网络不可用,一旦系统出现问题,那么就连
本地管理员也无法进行登陆,可是我参照此策略没有成功。还有一招就是限制本地群组。通常来说,最
好的做法就是这个方法。可以手动删除所有本地账户(内置的账户常规方法是不能删除的);然后清理
本地管理员群组中的账户,至少保留内置系统管理员及Domain admins;最后统一修改本地管理员账户密
码。这样用户没有本地账户,就只能登陆到域。但是这招得一台台的设置啊。晕晕网络用户这么多。。
。。。。。。那么能不能通过策略的方式限制 允许本地登陆的账户或群组呢。我没有实验成功
3、。。。。。。。请高手指点。 |