域策略（7）——禁用本地administrator登录计算机

策略说明

通常公司域环境中，普通域用户没有管理员权限，不可以随意设置系统和私自安装软件，但是对于有些自己装机经验的人员来说，会通过PE等工具来解锁和重置administrator本地账户，从而用本地账户进入系统，进行配置、安装软件等违规行为。因此可以通过策略禁用本地administrator，从而提高安全性，便于公司运维管理。

策略设置步骤

1. 在域策略服务器上，通过命令gpmc.msc打开域策略编辑器；
   
2. 此策略用单独的行政部进行演示举例，右键”行政部“——”在这个域中创建GPO并在此处链接“——命名为”禁用本地admin"；
   
3. 右键“禁用本地admin"——”编辑“；
   
4. 依次找到：计算机配置——策略——Windows设置——安全设置——本地策略——安全选项，右侧找到”账户：管理员状态“并设置为已禁用；
   
5. 通过命令 gpupdate /force 强制刷新域策略；

gpupdate /force

6. 行政部OU下的所有计算机，均无法通过administrator登录计算机，登录时提示”你的账户已被停用。请向系统管理员咨询“。即使通过PE等工具重置本地administrator密码也无济于事。

end!