文章編號: 278295 - 上次校閱: 2007年3月1日 - 版次: 7.5

如何鎖定 Windows Server 2003 或 Windows 2000 終端機伺服器工作階段

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
全部展開 | 全部摺疊

結論

您可以使用 「 群組原則?鎖定在 Microsoft Windows Server 2003 為基礎或 Microsoft Windows 2000 電腦上的終端機伺服器工作階段。以下列設定值甚至系統管理員帳戶將會有限制存取權。強烈建議您建立新的組織單位,而不是修改上一個現有的原則。

附註這些原則的使用並不保證安全的電腦,而且您應該使用它們僅為指導方針。

其他相關資訊

使用 Active Directory 使用者和電腦建立新的組織單位 (OU)。組織單位上按一下滑鼠右鍵,並按一下 [內容],然後在 [群組原則] 索引標籤上按一下 [新增原則]。編輯此原則具有下列設定:
  • [電腦 Configuration\Admin Templates\System\Group 原則]

    啟用下列設定:
    使用者群組原則迴路處理模式
  • [電腦設定 \windows 設定 \ 安全性設定 \ 本機 Policies\Security 選項]

    啟用下列設定:
    不要顯示登入畫面中的最後一個使用者名稱
    限制的 CD-ROM 存取只限於登入本機的使用者
    限制碟機存取只限於登入本機的使用者
  • [電腦設定 \ 系統管理範本 \ 系統 \ 啟動 Components\Windows 安裝程式]

    啟用下列的設定,並將它設為 [永遠:
    停用 Windows 「 安裝程式


    附註停用 Windows 「 安裝程式 預設的設定可防止任何非管理的應用程式從安裝的非系統管理員。設定 停用 Windows 「 安裝程式 為 [永遠 可能防止某些較新的更新,從 Windows Update 被套用。因此,我們建議您只將 停用 Windows 「 安裝程式 設定為 [永遠 如果特定需要或已識別的威脅,您必須處理。
  • [使用者設定 \windows 設定 Settings\Folder 重新導向]

    啟用下列設定:
    應用程式資料
    桌面
    我的文件
    開始功能表
  • [使用者設定 \ 系統管理範本 \ 系統 \ 啟動 Components\Windows 檔案總管]

    啟用下列設定:
    移除對應網路磁碟機,然後中斷連線網路磁碟機
    從 Windows 檔案總管的 [移除搜尋] 按鈕
    停用 Windows 檔案總管的預設內容功能表
    隱藏 Windows 檔案總管內容] 功能表上的 [管理] 項目
    隱藏在 [我的電腦] 中這些指定的磁碟機(啟用這項設定為 A 到 D。)
    從我的電腦的磁碟機來防止存取(啟用這項設定為 A 到 D。)
    隱藏硬體索引標籤
  • [使用者設定 \ 系統管理範本 \ 系統 \ 啟動 Components\Task 排程器]

    啟用下列設定:
    防止工作執行或結束
    停用新的工作建立
  • [使用者設定 \ 系統管理範本 \ 開始功能表和工作列]

    啟用下列設定:
    停用並移除 Windows 更新的連結
    移除從 [開始] 功能表的一般程式群組
    停用設定] 功能表上的程式
    移除網路 (& I) 撥接連線從開始功能表
    從 [開始] 功能表的 [移除搜尋] 功能表
    從 [開始] 功能表的 [移除 [說明] 功能表
    從 [開始] 功能表移除執行] 功能表
    新增到 [開始] 功能表的登出
    停用工作列及開始功能表設定的變更
    停用並移除 [關機] 命令 或是 移除並防止存取 [關機] 指令

    附註在 Windows 2000 中 停用並移除 [關機] 指令,被命名為此設定。Windows Server 2003 中 移除,並且防止存取 [關機] 指令,被命名為此設定。
  • 使用者設定 \ 系統管理範本 \ 系統 \ Templates\Desktop

    啟用下列設定:
    隱藏 [網路上的芳鄰] 圖示在桌面上
    超過下列大小就禁止使用者變更我的文件] 路徑
  • [使用者設定 \ 系統管理範本 \ 控制台面板]

    啟用下列設定:
    停用控制台
    重要啟用 [這項設定時您防止系統管理員安裝 「 終端機] 伺服器上的任何 MSI 套件即使明確拒絕設為系統管理員帳戶。
  • 使用者設定 \ 系統管理範本 \ 系統

    啟用下列設定:
    停用命令提示字元(設定 [為 [否] 的 [停用指令碼])
    停用登錄編輯工具
  • [使用者設定 \ 系統管理範本 \ 系統 \ Templates\System\Logon 登出]

    啟用下列設定:
    停用 [工作管理員
    停用鎖定電腦
如需有關如何鎖定 Windows Server 2003 終端機伺服器工作階段的詳細資訊,請造訪下列網站:
http://www.microsoft.com/downloads/details.aspx?FamilyID=7f272fff-9a6e-40c7-b64e-7920e6ae6a0d&DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=7f272fff-9a6e-40c7-b64e-7920e6ae6a0d&DisplayLang=en)

Dsacls.exe 工具

Dsacls.exe 是您可以使用查詢的安全性屬性,並變更權限及安全性屬性的 Active Directory 物件的命令列工具。它相當命令列在 [Windows Active Directory 嵌入式管理單元工具,例如 Active Directory 使用者和電腦和 Active Directory 網站和服務中的 [安全性] 索引標籤。您可以使用 Dsacls.exe ?鎖住終端機服務使用者從檔案和在 Windows Server 2003 電腦或 Microsoft Windows 2000 架構的電腦上的資料夾。

如需有關如何使用 [Dsacls.exe 工具 (Dsacls.exe) 來管理存取控制會清單 (ACL) 的 Windows Server 2003 和 Microsoft Windows 2000 Server 中的目錄服務,請按一下下列文章編號,檢視 「 Microsoft 知識庫 」 中的發行項件:
281146? (http://support.microsoft.com/kb/281146/ ) 如何使用 Windows Server 2003 和 Windows 2000 中 Dsacls.exe
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
回此頁最上方
關鍵字:?
kbmt kbhowto kbnetwork KB278295 KbMtzh
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:278295? (http://support.microsoft.com/kb/278295/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。