Windows域组策略限制关机

第一步:删除和阻止“关机”命令

开始——运行,输入gpedit.msc确定,打开组策略,在用户配置——管理模板——任务栏和[开始]菜单中,找到“删除和阻访问‘关机’命令”。

这样在“开始”菜单中,不出现“关闭计算机(U)”项,在任务管理器关机菜单栏中“待机”、“关闭”和“重新启动”菜单项被禁止。无法在登录状态进行关机。但此时并不能防止使用shutdown命令,用户可以用shutdown –s 或 shutdown –r 关机或重启。另外,在注消用户后,在登录窗口用“关机”按钮可以关机。所以还需要进入下面三步作。

注:也可以通过注册表修修HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer下的noclose键值设为1来实现。

第二步:禁止在未登录前关机

开始——运行,输入secpol.msc确定,打开本地安全策略,在本地策略——安全选项中,找到“关机:允许在未登录前关机”,双击它,在属性窗口中设为“已禁用”,确定。
这样,登录系统前或切换/注消用户过程中不能关机。

第三步:设置受限用户

按控制面板——用户帐户——创建一个新帐户——输入用户名“USER”,选“受限”,创建帐户一个受限帐户。然后为管理员帐户设置密码。留受限用户给别人使用。

经过这样设置,用户使用受限帐户登录后,在命令行中输入“shutdown –s”或“shutdown –r”时会提示“客户端没有所需特权”,不能进行关机或重启,达到阻止关机目的。

第四步:阻止用户更新组策略

有些用户也会通过组策略设置来打开上述关机的选项,这样就白修改了,因此需要阻止受限用户刷新组策略。

开始——运行,输入gpedit.msc确定,打开组策略,在计算机配置——管理模板——系统——组策略,找到“删除用户激活机器策略刷新”,设为已启用。

重新启动电脑后进入USER测试,打开组策略,将用户配置——管理模板——任务栏和[开始]菜单中——“删除和阻访问‘关机’命令”设为已禁用,再调出任务管理器,“待机”、“关闭”和“重新启动”菜单项仍然被禁止。证明受限用户已不能使用此项组策略选项更改生效。设置成功。

另外,受限用无法通过修改注册表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer下的noclose键值来打开“关机”选项。

本文转自网络由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。