Windows部署Core用户组策略_多用户环境下的权限隔离配置

Windows部署Core用户组策略_多用户环境下的权限隔离配置

人工智能

Windows多用户环境中实现精细权限隔离与统一管控的核心是组策略对象(GPO)对Core用户组的定向配置,包括域环境GPMC部署安全策略、工作组环境本地gpedit.msc配置、NTFS权限+组策略双重控制,以及AppLocker白名单程序限制。

☞☞☞AI 智能聊天, 问答助手, AI 智能搜索, 多模态理解力帮你轻松跨越从0到1的创作门槛☜☜☜

如果您在Windows多用户环境中需要实现用户权限的精细隔离与统一管控,则核心依赖于组策略对象(GPO)对Core用户组的定向配置。以下是针对该目标的多种可行配置路径:

一、通过组策略管理控制台(GPMC)为Core用户组部署安全策略

此方法适用于已加入域的Windows环境,利用域控制器集中下发策略,确保所有成员计算机强制应用一致的权限约束规则。

1、以域管理员身份登录域控制器,打开“组策略管理”(gpmc.msc)。

2、在“林”→“域”节点下,右键目标域,选择“在此域中创建GPO并在此处链接”。

3、为新GPO命名,例如“CoreUser_Security_Restriction”,双击进入编辑界面。

4、导航至“计算机配置”→“策略”→“Windows设置”→“安全设置”→“本地策略”→“用户权限分配”。

5、双击“拒绝通过网络访问这台计算机”,点击“添加用户或组”,输入Core用户组名称并确认。

6、同理配置“拒绝作为批处理作业登录”、“拒绝作为服务登录”及“拒绝通过远程桌面服务登录”三项策略,全部添加Core用户组。

7、返回GPMC主界面,右键该GPO,选择“强制”以防止继承策略覆盖,并点击“立即更新组策略”。

二、使用本地组策略编辑器(gpedit.msc)配置Core用户组权限

适用于工作组环境或未加入域的Windows Server/Pro系统,通过本地策略实现即时生效的权限隔离,无需域基础设施支持。

1、以本地管理员身份登录目标计算机,按Win+R键,输入gpedit.msc后回车。

2、依次展开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权限分配”。

3、在右侧列表中,双击“从网络访问此计算机”,点击“定义这些策略设置”,再点击“添加用户或组”。

4、在弹出窗口中点击“高级”→“立即查找”,勾选仅包含CoreUsers组,确认添加。

5、重复步骤3–4,将CoreUsers组分别添加至“允许本地登录”和“允许通过远程桌面服务登录”策略中(仅保留必要权限)。

6、双击“用户账户控制:以管理员批准模式运行所有管理员”策略,将其设为“已启用”,确保Core组成员无法绕过UAC提权。

7、关闭编辑器,在命令提示符中执行gpupdate /force,强制刷新策略。

快剪辑

国内⼀体化视频⽣产平台

下载

三、结合文件系统ACL与组策略限制Core用户组资源访问范围

该方法通过双重控制机制强化隔离效果:组策略限定登录与执行行为,NTFS权限限定数据访问边界,形成纵深防御。

1、在资源所在磁盘创建专用目录,例如D:\CoreData,右键属性→“安全”选项卡→“高级”。

2、点击“禁用继承”,在弹出窗口中选择“从此对象中删除所有已继承的权限”。

3、点击“添加”→“选择主体”,输入CoreUsers组名,点击确定。

4、在“权限条目”中,勾选“读取”和“写入”,取消勾选“完全控制”“修改”“取得所有权”等高危权限。

5、返回组策略编辑器,导航至“用户配置”→“管理模板”→“Windows组件”→“文件资源管理器”,启用“隐藏这些指定的驱动器”策略,将C:、E:等非授权盘符设为“不可见”。

6、启用“阻止访问‘我的电脑’中的驱动器”策略,仅允许访问D:盘,并将值设为0x10000000(对应D盘)。

7、再次执行gpupdate /force,重启资源管理器进程使文件夹权限立即生效。

四、利用AppLocker白名单策略限制Core用户组可执行程序

此方案聚焦于运行时控制,通过应用程序控制策略禁止Core用户组运行未经签名或未列入许可清单的二进制文件,有效阻断横向移动与恶意代码执行。

1、打开gpedit.msc,导航至“计算机配置”→“Windows设置”→“安全设置”→“应用程序控制策略”→“AppLocker”。

2、右键“可执行规则”,选择“创建默认规则”,系统自动生成三条基础规则(允许系统、管理员、当前用户路径)。

3、右键“可执行规则”,选择“自动部署规则”,在向导中指定CoreUsers为应用对象,排除管理员账户。

4、右键新建规则→“创建新规则”,选择“发布者”条件,浏览并选择已签名的可信安装包(如VS Code、Git for Windows),设置操作为“允许”。

5、新建第二条规则,条件设为“路径”,路径填写%WINDIR%\System32\WindowsPowerShell\*,操作设为“拒绝”。

6、新建第三条规则,条件设为“文件哈希”,导入已知安全工具(如7-Zip、Notepad++)的哈希值,操作设为“允许”。

7、在AppLocker策略根节点右键,启用“配置规则强制执行”→勾选“可执行规则”,并设置为“已启用”。

本文地址:https://www.sztg.com.cn/article/650259.html

如非特殊说明,本站内容均来自于网友自主分享,如有任何问题均请联系我们进行处理!

猜您喜欢