none
域策略:加域电脑如何通过组策略:如何禁止本地所有账号策 RRS feed

  • Question

  • 组策略禁用已知本地账号,未知,不规则的本地账号如何禁用?

    Wednesday, July 21, 2021 3:49 AM

All replies

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    您可以使用您提供的截图中的组策略禁用域计算机上的本地账号。

    这是我在测试环境中的测试,可以禁用本地账号。

    我禁用了一台加域的机器上的2个本地账号(ddd和roaming),例如:本来这两个账号是启用的状态。



    1.在域控上新建一个组织单元,然后把这些(需要禁用本地账号的)计算机放入这个组织单元。
    2.在域控上新建一个组策略对象,并链接到上面的组织单元。
    3.编辑组策略对象。
    找到计算机配置\首选项\本地用户和组\右击本地用户和组-新建-本地用户。

    4.直接输入账号ddd并且勾选“账号被禁用”的选项。

    5.再一次右击本地用户和组-新建-本地用户。直接输入账号roaming并且勾选“账号被禁用”的选项。


    6.那么就显示了两个条目,分别是禁用了ddd和roaming这两个账号。


    7.在客户端上运行gpupdate /force以后,即刷新组策略以后,再次打开本地用户和组,就可以看到这两个账号已经被禁用了。





    备注(重要):

    1.如果您有很多台客户端,并且每台客户端上需要禁用的账号都一样的话,
    例如:
    PC1 有user1,user2,user3,user4和user5
    PC2 有user1,user2,user3,user4和user5
    PC3 有user1,user2,user3,user4和user5
    PC4 有user1,user2,user3,user4和user5
    PC5 有user1,user2,user3,user4和user5等等

    链接一个GPO,在这个GPO里添加这些相同的账号(user1,user2,user3,user4和user5,就像步骤6一样,加5个账号)。
    2.如果您有如果您有很多台客户端,并且每台客户端上需要禁用的账号都不一样的话,
    例如:
    PC1 有user1
    PC2 有user2
    PC3 有user3
    PC4 有user4
    PC5 有user5等等

    链接一个GPO,在这个GPO里添加这些不同的账号(user1,user2,user3,user4和user5,就像步骤6一样,加5个账号)。

    3.如果您有很多台客户端,并且每台客户端上需要禁用的账号有些相同,有些不同。
    例如:
    PC1 有user1,user2
    PC2 有user2
    PC3 有user3
    PC4 有user4,user3
    PC5 有user5等等
    链接一个GPO,在这个GPO里添加这些不同的账号(user1,user2,user3,user4和user5,就像步骤6一样,加5个账号,重复的不需要添加进去)。


    4.如果您的这些计算机可能不在同一个组织单元,那也没事,只需要把这个GPO链接到这些组织单元就可以了,也不需要过滤,就是计算机上有这样的账号的话就会被禁用,没有的话也不会执行这个策略。


    希望上述的回复,对您有帮助。

    如有任何问题,欢迎您随时咨询我们。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    Wednesday, July 21, 2021 5:15 AM
    Moderator
  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    您可以使用您提供的截图中的组策略禁用域计算机上的本地账号。

    这是我在测试环境中的测试,可以禁用本地账号。

    我禁用了一台加域的机器上的2个本地账号(ddd和roaming),例如:本来这两个账号是启用的状态。



    1.在域控上新建一个组织单元,然后把这些(需要禁用本地账号的)计算机放入这个组织单元。
    2.在域控上新建一个组策略对象,并链接到上面的组织单元。
    3.编辑组策略对象。
    找到计算机配置\首选项\本地用户和组\右击本地用户和组-新建-本地用户。

    4.直接输入账号ddd并且勾选“账号被禁用”的选项。

    5.再一次右击本地用户和组-新建-本地用户。直接输入账号roaming并且勾选“账号被禁用”的选项。


    6.那么就显示了两个条目,分别是禁用了ddd和roaming这两个账号。


    7.在客户端上运行gpupdate /force以后,即刷新组策略以后,再次打开本地用户和组,就可以看到这两个账号已经被禁用了。





    备注(重要):

    1.如果您有很多台客户端,并且每台客户端上需要禁用的账号都一样的话,
    例如:
    PC1 有user1,user2,user3,user4和user5
    PC2 有user1,user2,user3,user4和user5
    PC3 有user1,user2,user3,user4和user5
    PC4 有user1,user2,user3,user4和user5
    PC5 有user1,user2,user3,user4和user5等等

    链接一个GPO,在这个GPO里添加这些相同的账号(user1,user2,user3,user4和user5,就像步骤6一样,加5个账号)。
    2.如果您有如果您有很多台客户端,并且每台客户端上需要禁用的账号都不一样的话,
    例如:
    PC1 有user1
    PC2 有user2
    PC3 有user3
    PC4 有user4
    PC5 有user5等等

    链接一个GPO,在这个GPO里添加这些不同的账号(user1,user2,user3,user4和user5,就像步骤6一样,加5个账号)。

    3.如果您有很多台客户端,并且每台客户端上需要禁用的账号有些相同,有些不同。
    例如:
    PC1 有user1,user2
    PC2 有user2
    PC3 有user3
    PC4 有user4,user3
    PC5 有user5等等
    链接一个GPO,在这个GPO里添加这些不同的账号(user1,user2,user3,user4和user5,就像步骤6一样,加5个账号,重复的不需要添加进去)。


    4.如果您的这些计算机可能不在同一个组织单元,那也没事,只需要把这个GPO链接到这些组织单元就可以了,也不需要过滤,就是计算机上有这样的账号的话就会被禁用,没有的话也不会执行这个策略。


    希望上述的回复,对您有帮助。

    如有任何问题,欢迎您随时咨询我们。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    不同的计算机,创建规则不统一,没规则,怎么禁用? 
    Wednesday, July 21, 2021 9:48 AM
  • 尊敬的客户,您好!

    感谢您的回复。

    问题:不同的计算机,创建规则不统一,没规则,怎么禁用? 

    回复:所以组策略里是一个账号一个账号添加的,就是说组策略里需要包含所有需要禁用的账号(不管他们在哪台计算机上的本地账号,但是不需要添加重复的账号),并且这些账号可能分布在不同的计算机上,所以这个GPO需要链接到所有想要禁用账号的计算机所在的OU上。

    因为您想要禁用账号,那么就需要在GPO里设置到这些账号。

    因为账号可能分布在不同的计算机上,这是计算机策略,所以需要应用到所有的计算机上。

    如有任何问题,欢迎您随时咨询我们。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    Thursday, July 22, 2021 3:42 AM
    Moderator
  • 尊敬的客户,您好!

    感谢您的回复。

    问题:不同的计算机,创建规则不统一,没规则,怎么禁用? 

    回复:所以组策略里是一个账号一个账号添加的,就是说组策略里需要包含所有需要禁用的账号(不管他们在哪台计算机上的本地账号,但是不需要添加重复的账号),并且这些账号可能分布在不同的计算机上,所以这个GPO需要链接到所有想要禁用账号的计算机所在的OU上。

    因为您想要禁用账号,那么就需要在GPO里设置到这些账号。

    因为账号可能分布在不同的计算机上,这是计算机策略,所以需要应用到所有的计算机上。

    如有任何问题,欢迎您随时咨询我们。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    这个逻辑是先知道终端有哪些账号,就建对应的禁用账号策略,这个逻辑有些滞后

    换个思维:能否禁用本地所有的账号?

     
    Thursday, July 22, 2021 11:58 PM
  • 尊敬的客户,您好!

    感谢您的回复。

    根据我的了解,并且我刚才又研究了一番,如果想要通过GPO"禁用本地所有的账号",现有的组策略里是没有这样现成的策略设置的。

    如果想要使用GPO,就只能使用我上面的组策略首选项。

    或者手动地在每台客户端机器上禁用所要禁用的账号。


    如有任何问题,欢迎您随时咨询我们。



    此致,
    Daisy Zhou


    如果我的回复对您有帮助,请记住将回复“标记为答复”。 




    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    Friday, July 23, 2021 3:22 AM
    Moderator
  • 尊敬的客户,您好!

    感谢您的回复。

    根据我的了解,并且我刚才又研究了一番,如果想要通过GPO"禁用本地所有的账号",现有的组策略里是没有这样现成的策略设置的。

    如果想要使用GPO,就只能使用我上面的组策略首选项。

    或者手动地在每台客户端机器上禁用所要禁用的账号。


    如有任何问题,欢迎您随时咨询我们。



    此致,
    Daisy Zhou


    如果我的回复对您有帮助,请记住将回复“标记为答复”。 




    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    或者手动地在每台客户端机器上禁用所要禁用的账号。

    =》上万台的企业,怎么一个个的禁用?

    Saturday, July 24, 2021 3:20 AM
  • 尊敬的客户,您好!

    感谢您的回复。

    那您可以尝试使用我上面提到的组策略首选项的方法,只要找到所有的加域机器上的本地账号即可,然后把这个组策略链接到域上。

    还有一种我想到的可能方案,那就是使用脚本(脚本禁用所有本地账号),然后通过组策略的脚本部署。但是不清楚这个方法是否可行,而且我们不会撰写这样的脚本,只是提供给您这样一个想法。

    希望上述回复对您有帮助。

    如有任何问题,欢迎您随时咨询我们。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    Monday, July 26, 2021 6:18 AM
    Moderator
  • 尊敬的客户,您好!

    请问这个帖子里的问题是否有任何进展?

    如有任何问题,欢迎您随时咨询我们。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    Thursday, July 29, 2021 6:10 AM
    Moderator
  • 尊敬的客户,您好!

    感谢您的回复。

    那您可以尝试使用我上面提到的组策略首选项的方法,只要找到所有的加域机器上的本地账号即可,然后把这个组策略链接到域上。

    还有一种我想到的可能方案,那就是使用脚本(脚本禁用所有本地账号),然后通过组策略的脚本部署。但是不清楚这个方法是否可行,而且我们不会撰写这样的脚本,只是提供给您这样一个想法。

    希望上述回复对您有帮助。

    如有任何问题,欢迎您随时咨询我们。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    域控2016:如何禁用所有本地账号?

    该脚本可行?

    • Edited by super.ma Sunday, August 1, 2021 3:17 PM 增加描述
    Sunday, August 1, 2021 3:13 PM
  • 尊敬的客户,您好!

    我在一台加域的机器上,测试了一下您给的链接里的脚本,应该可以的(禁用机器上的本地账号,注意也包括本地管理员账号)。

    通过域的策略也推送成功了。

    您可以尝试下面的步骤:
    1.在域控上新建一个文本文件,把下面两个命令放入到这个文本文件里,并且把文件的后缀从.txt改成.ps1.
    Import-Module Microsoft.PowerShell.LocalAccounts
    Get-LocalUser | Disable-LocalUser -Confirm:$false

    2.在域控上的组策略管理器里面新建一个组策略对象,并且链接到指定的组织单元容器或者域。

    3.把步骤1里的.ps1脚本文件放到域控上的SYSVOL文件夹的指定路径下。

    例如:新建的GPO的GIUID如下(加入部署机器的开机脚本,您也可以部署用户的登录脚本):



    那就把脚本文件放到这里C:\Windows\SYSVOL\domain\Policies\{4DA6B219-0EB0-446A-B479-6876EA656C92}\Machine\Scripts\Startup

    4.编辑组策略对象,找到计算机策略\Windows Settings\Scripts(Startup/Shutdown)\Startup, 添加步骤3中的脚本文件。





    5.在一台客户端上关机并重启机器,然后使用域管理员账号登录进去检查策略是否生效(即这台机器上的本地账号是否都已经被禁用了)。

    希望上述的回复对您有帮助。

    如有任何疑问,欢迎您随时咨询我们。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    Monday, August 2, 2021 7:39 AM
    Moderator
  • 尊敬的客户,您好!

    我在一台加域的机器上,测试了一下您给的链接里的脚本,应该可以的(禁用机器上的本地账号,注意也包括本地管理员账号)。

    通过域的策略也推送成功了。

    您可以尝试下面的步骤:
    1.在域控上新建一个文本文件,把下面两个命令放入到这个文本文件里,并且把文件的后缀从.txt改成.ps1.
    Import-Module Microsoft.PowerShell.LocalAccounts
    Get-LocalUser | Disable-LocalUser -Confirm:$false

    2.在域控上的组策略管理器里面新建一个组策略对象,并且链接到指定的组织单元容器或者域。

    3.把步骤1里的.ps1脚本文件放到域控上的SYSVOL文件夹的指定路径下。

    例如:新建的GPO的GIUID如下(加入部署机器的开机脚本,您也可以部署用户的登录脚本):



    那就把脚本文件放到这里C:\Windows\SYSVOL\domain\Policies\{4DA6B219-0EB0-446A-B479-6876EA656C92}\Machine\Scripts\Startup

    4.编辑组策略对象,找到计算机策略\Windows Settings\Scripts(Startup/Shutdown)\Startup, 添加步骤3中的脚本文件。





    5.在一台客户端上关机并重启机器,然后使用域管理员账号登录进去检查策略是否生效(即这台机器上的本地账号是否都已经被禁用了)。

    希望上述的回复对您有帮助。

    如有任何疑问,欢迎您随时咨询我们。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    非常感谢回答,如此细致的回答

    1、支持win7 系统吗?

    2、启动脚本,放置在“powershell 脚本” 里面?

    手动执行报错如下图所示,类似这些终端,如何批量处理?脚本批量处理,不能保证100%成功?


    • Edited by super.ma Wednesday, August 4, 2021 1:25 AM 增加描述
    Tuesday, August 3, 2021 11:31 PM