目的:不能通过本地管理员账号登录电脑
一、修改管理员名称
创建GPO,在计算机策略---windows设置---安全设置-----本地策略-----安全选项-----找到“账户:重命名系统管理员账户"--------改成想要的名字。
二、更改管理员密码
在GPO中找到组策略删除本地管理员组策略删除本地管理员,计算机策略---windows设置---脚本(启动/关机)---选择“启动”----添加对应的脚本文件。
有两个注意事项:
脚本文件可以是批处理格式,比如可以用记事本改密码写:
NET USER ADMINISTRATOR(用户名自定义)424~WER(密码自定义)然后将扩展名改为.BAT格式。
脚本文件的存储位置存储在默认打开位置。不用浏览找写的脚本,可以把脚本复制到打开的位置。
另外一种情况是,如果本地计算机有多个不同账号的管理员,如何限制他们?这时候就需要使用GPO中的“受限组”了。
限制组功能
对域中的组和用户进行集中统一管理。在域生产环境中,为了统一计算机管理权限,可以使用该策略统一指定哪些用户属于最高管理员组的管理员组。以管理员权限收回原账号的管理权限。
控制域中一组计算机的成员可用于委派用户成为部门中计算机的管理员
您可以只添加一个或多个属于本地管理员权限的受限组,这样即使其他用户加入本地管理员组,重启后也会被自动删除。例如,只允许域管理员组属于 ADMINISTRATORS 组:
(如下图,管理员组只包含域管理员)
客户端的本地管理员组已经包含域管理员。
将本地用户加入本地管理员组:
刷新组策略后,本地用户不再属于管理员组。
,
