[GPO] Domain 및 Computer name 변경 제한

클라이언트 관리를 위하여 GPO를 만들어 관리하는데,

사용자가 임의로 도메인에서 탈퇴를 해버리거나, 컴퓨터명을 임의로 바꾸어 버리면 문제가 되겠져.

 

이럴 경우 도메인 탈퇴 및 컴퓨터 이름을 변경할 수 없도록 제한하는 정책입니다.

(주 용도는 도메인 탈퇴 제한이지만...)

 

먼저, 그룹 정책 편지기를 실행한 후 '컴퓨터 구성 - 정책 - Windows 설정 - 보안 설정 - 파일 시스템'으로 이동한 후 '파일 시스템'을 우 클릭하여 '파일 추가' 버튼을 클릭합니다. 

 

 

'파일 또는 폴더를 추가합니다.' 창에서 '%systemroot%\system32\netid.dll'을 입력하고 확인 버튼을 클릭합니다.

 

데이터 베이스 보안 대상 창이 나타나면 권한을 제거한 사용자를 제거한 후 권한이 필요한 사용자를 추가합니다.

(예로 Administrators 제거하고 Domain Admins을 추가하면, 로컬 관리자는 도메인 탈퇴 등의 작업을 할 수 없지만, 도메인 관리자는 도메인 탈퇴 등의 작업이 가능합니다)

 

개체 추가 창이 나타나면 '상속 가능한 사용 권한을 모든 하위 폴더 및 파일에 전파(P)'를 선택하고 확인 버튼을 클릭합니다.

 

정책이 적용되면 권한이 없는 사용자는 Computer Name 탭이 나타나지 않습니다.

 

[권한 없는 사용자] 

 

[권한있는 사용자]