我在一个域中有两台服务器,运行在 VMWare 上。WS2K8R2 域控制器和 Server 2012 RD 会话主机。我想从任务栏中禁用/删除服务器管理器和 powershell 图标,并使用户无法访问它们。
我配置了组策略计算机配置 > 策略 > Windows 设置 > 安全设置 > 文件系统并进行了以下输入:
C:\ProgramData\Microsoft\Windows\开始菜单\程序\附件\Windows PowerShell\Windows PowerShell.lnk
C:\ProgramData\Microsoft\Windows\开始菜单\程序\附件\Windows PowerShell\Windows PowerShell (x86).lnk
C:\ProgramData\Microsoft\Windows\开始菜单\程序\管理工具\服务器管理器.lnk
C:\ProgramData\Microsoft\Windows\开始菜单\程序\管理工具\Windows PowerShell 模块.lnk
从权限中删除 Creator Owner 和 Users 并运行 gpupdate。
用户仍然可以使用这些图标,单击它们可以打开这些应用程序。还有其他 GPO 处于活动状态并且可以正常工作。
还有什么我需要检查的吗?
谢谢
如果用户已经登录,这些快捷方式仍会向他们显示。您需要在他们登录或删除其本地配置文件之前对其进行配置。登录的新用户不应看到这些图标。
不过,这不会限制对这些可执行文件的访问。如果你想让开始菜单和任务栏保持整洁,这很好。如果您想限制他们可以启动的内容,您应该使用软件限制策略或通过 GPO 更新 applocker 以仅将您希望在该计算机上运行的内容列入白名单。
这样做可以简化您的生活:
转到有问题的 GPO,对其进行编辑并转到以下内容:
启用:不运行指定的 Windows 应用程序
在那个其他也单击显示不允许的应用程序,并添加以下内容:
根据服务器的复制,应用并注销和打开可能需要长达一个小时的时间来复制,如果失败则执行
GPupdate /force.这将阻止用户访问服务器管理器,请记住管理员不应该是您正在设置的 GPO 的一部分。