Active Directory 安全组控制和组策略 (OU) 限制和权限
Active Directory security group controls and Group Policy (OU) restrictions and permissions
我们正在寻找一种方法来对 Active Directory 组应用限制,以便我们禁止给定的一组用户/计算机使用以下部分或全部功能:
- 屏幕截图
- 打印
- 复制和粘贴
- 保存和下载
非常感谢可以应用于用户或计算机配置(或两者)的控件组合(.ADMX 策略等)的细分,以满足此控件需求!
• 您可以通过组策略本身完成所需的操作。请参考以下步骤逐一阻止每个操作:-
- 阻止通过“Alt+PrtSc”捕获屏幕并阻止“截图工具”
通过组策略禁用打印屏幕 创建包含以下内容的 .reg 文件:
‘ Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]
"Scancode Map"=hex:00,00,00,00,00,00,00,00,04,00,00,00,00,00,2a,e0,00,00,37,e0,\
00,00,54,00,00,00,00,00 ‘
通过在计算机级别设置的脚本(批处理文件)应用注册表修改。应用 GPO 后重新启动计算机。
要在 Windows 10 中禁用截图工具 导航到以下设置:
‘ 用户配置 --> 管理模板 --> Windows 组件 --> 平板电脑 --> 附件。
在这里,在右侧,双击“不允许截图工具 运行”打开其“属性”和 select“启用”选项以禁用截图Windows 10.'
中的工具
- 通过组策略阻止本地和网络打印
禁用本地和网络打印选项 --> 转到组策略编辑器
‘ 用户配置 --> 管理模板 --> 打印机 --> 浏览网络查找打印机 --> 禁用;启用设备控制打印限制 --> 启用;防止添加打印机 --> 已启用;浏览常用网站查找打印机 --> Disabled'
- 通过组策略阻止保存和下载文件
禁用 Windows 系统上的任何类型的下载 --> 转到组策略编辑器
‘ 用户配置 --> 管理模板 --> Windows 组件 --> Internet Explorer --> 安全功能 --> 限制文件下载 --> 所有进程 --> 启用;用户配置 --> 管理模板 --> Windows 组件 --> Internet Explorer --> 安全页面 --> Internet 区域 --> 允许文件下载 --> 禁用;允许字体下载 --> 禁用;允许提示文件下载 --> 已禁用 ’
要对 Google Chrome 执行相同操作,请转至“计算机配置 --> 管理模板 --> Google --> Google Chrome --> 允许下载限制 --> 阻止所有下载 --> 重新启动客户端系统'
- 阻止复制和粘贴操作
要完全阻止复制和粘贴操作,除了通过 Azure RMS(权限管理服务)之外,不可能通过组策略,因为如果给予适当的权限,用户可以在 host/system 或网络驱动器中复制和粘贴.但是,您可以阻止通过 RDP 虚拟访问系统的用户的剪贴板访问权限,这将禁止用户在 RDP 会话和他们的桌面之间使用剪贴板。用户仍然可以在服务器本身上进行复制和粘贴。
为此,转到“计算机配置 --> 管理模板 --> Windows 组件 --> 远程桌面会话主机 --> 设备和资源重定向。在那里,启用“不允许剪贴板重定向”选项。
我们正在寻找一种方法来对 Active Directory 组应用限制,以便我们禁止给定的一组用户/计算机使用以下部分或全部功能:
- 屏幕截图
- 打印
- 复制和粘贴
- 保存和下载
非常感谢可以应用于用户或计算机配置(或两者)的控件组合(.ADMX 策略等)的细分,以满足此控件需求!
• 您可以通过组策略本身完成所需的操作。请参考以下步骤逐一阻止每个操作:-
- 阻止通过“Alt+PrtSc”捕获屏幕并阻止“截图工具”
通过组策略禁用打印屏幕 创建包含以下内容的 .reg 文件:
‘ Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]
"Scancode Map"=hex:00,00,00,00,00,00,00,00,04,00,00,00,00,00,2a,e0,00,00,37,e0,\
00,00,54,00,00,00,00,00 ‘
通过在计算机级别设置的脚本(批处理文件)应用注册表修改。应用 GPO 后重新启动计算机。
要在 Windows 10 中禁用截图工具 导航到以下设置:
‘ 用户配置 --> 管理模板 --> Windows 组件 --> 平板电脑 --> 附件。
在这里,在右侧,双击“不允许截图工具 运行”打开其“属性”和 select“启用”选项以禁用截图Windows 10.'
中的工具- 通过组策略阻止本地和网络打印
禁用本地和网络打印选项 --> 转到组策略编辑器 ‘ 用户配置 --> 管理模板 --> 打印机 --> 浏览网络查找打印机 --> 禁用;启用设备控制打印限制 --> 启用;防止添加打印机 --> 已启用;浏览常用网站查找打印机 --> Disabled'
- 通过组策略阻止保存和下载文件
禁用 Windows 系统上的任何类型的下载 --> 转到组策略编辑器 ‘ 用户配置 --> 管理模板 --> Windows 组件 --> Internet Explorer --> 安全功能 --> 限制文件下载 --> 所有进程 --> 启用;用户配置 --> 管理模板 --> Windows 组件 --> Internet Explorer --> 安全页面 --> Internet 区域 --> 允许文件下载 --> 禁用;允许字体下载 --> 禁用;允许提示文件下载 --> 已禁用 ’
要对 Google Chrome 执行相同操作,请转至“计算机配置 --> 管理模板 --> Google --> Google Chrome --> 允许下载限制 --> 阻止所有下载 --> 重新启动客户端系统'
- 阻止复制和粘贴操作
要完全阻止复制和粘贴操作,除了通过 Azure RMS(权限管理服务)之外,不可能通过组策略,因为如果给予适当的权限,用户可以在 host/system 或网络驱动器中复制和粘贴.但是,您可以阻止通过 RDP 虚拟访问系统的用户的剪贴板访问权限,这将禁止用户在 RDP 会话和他们的桌面之间使用剪贴板。用户仍然可以在服务器本身上进行复制和粘贴。
为此,转到“计算机配置 --> 管理模板 --> Windows 组件 --> 远程桌面会话主机 --> 设备和资源重定向。在那里,启用“不允许剪贴板重定向”选项。