Win10權(quán)限管理與多用戶遠(yuǎn)程登錄(多方案)

前言

最近要管理實(shí)驗(yàn)室的服務(wù)器, 說出來你可能不信, 服務(wù)器是Win10 Pro的. 經(jīng)?？次也┛偷男』锇閼?yīng)該知道, 我是非常討厭Windows的. 但是沒辦法, 還是要管理起來, 畢竟可以免費(fèi)用著雙英特爾至強(qiáng)和雙1080ti的顯卡的服務(wù)器不是(手動(dòng)滑稽). 這篇文章就來說說Win10權(quán)限, 教你如何添加出一個(gè)人畜無害的普通帳戶來.
當(dāng)然, 除了帳戶方面, 當(dāng)然還有遠(yuǎn)程登錄, 服務(wù)器的噪聲可不是一點(diǎn)大, 而且還很難加水冷, 所以遠(yuǎn)程登錄就很有必要了. 而且, 我在搞完多用戶遠(yuǎn)程登錄之后, 更討厭Windows了.
然后順便說一下, 服務(wù)器是Win10 Pro 1803, 我之前體驗(yàn)了一下1903, 整體還是可以的, 建議升級. 但是如果升級過程中或者升級之后出現(xiàn)了什么bug, 甚至變磚, 雨我無瓜, 我就是要這個(gè)亞子.

權(quán)限管理

如何才能添加一個(gè)人畜無害的帳戶, 很簡單, 分兩步, 第一添加一個(gè)帳戶, 第二, 廢了他, 哦不, 限制他, 這樣, 就可以了.

添加帳戶

首先打開控制面板, 可以在搜索框輸入控制面板. 也可以騷一點(diǎn), win鍵+r打開運(yùn)行框, 輸入control.exe進(jìn)入控制面板, 那我肯定是怎么騷怎么來的. 上圖:

然后點(diǎn)擊更改帳戶類型-在電腦設(shè)置中添加新用戶-將其他人添加到這臺電腦, 創(chuàng)建一個(gè)帳戶:

帳戶控制

win鍵+r打開運(yùn)行框, 輸入secpol.msc進(jìn)入本地安全策略. 左側(cè)進(jìn)入安全設(shè)置-本地策略-安全選項(xiàng), 找到用戶帳戶控制:標(biāo)準(zhǔn)用戶的提升提示行為, 雙擊, 設(shè)置為自動(dòng)拒絕提升請求, 點(diǎn)擊確定. 這樣就不能提升權(quán)限.

雙擊用戶帳戶控制:檢測應(yīng)用程序安裝并提示提升, 設(shè)置為已禁用, 點(diǎn)擊確定. 這樣就無法安裝應(yīng)用.

管理帳戶

win鍵+r打開運(yùn)行框, 輸入mmc.exe進(jìn)入Microsoft管理控制臺, ctrl+m進(jìn)入添加或刪除管理單元, 選擇本地用戶和組, 點(diǎn)擊添加, 選擇本地計(jì)算機(jī).
點(diǎn)擊用戶, 雙擊cxk, 設(shè)置用戶不能更改密碼.

ctrl+m進(jìn)入添加或刪除管理單元, 在可用的管理單元下選擇組策略對象編輯器, 點(diǎn)擊添加, 點(diǎn)擊瀏覽, 點(diǎn)擊用戶, 選擇cxk.

點(diǎn)擊文件-另存為.

禁止訪問驅(qū)動(dòng)器

依次點(diǎn)擊用戶配置-管理模板-Windows組件-文件資源管理器, 找到防止從"我的電腦"訪問驅(qū)動(dòng)器, 選擇已啟用. 這里你可以選擇要限制的驅(qū)動(dòng)器.

依次點(diǎn)擊管理模板-控制面板, 選擇禁止訪問"控制面板"和PC設(shè)置, 選擇已啟用.

最后保存到之前另存為的.msc文件即可. 下次你還要開啟或者關(guān)閉權(quán)限, 只需要繼續(xù)編輯這個(gè).msc文件即可.

遠(yuǎn)程登錄

訪問Linux的話, 我抬手就是一個(gè)ssh, 沒什么太多問題. Windows的遠(yuǎn)程登錄這里討論的是自家的mstsc.

登錄前

• win鍵+e進(jìn)入文件資源管理器, 選擇這臺電腦-右鍵屬性-高級系統(tǒng)設(shè)置-遠(yuǎn)程, 開啟遠(yuǎn)程:

• win鍵+r打開運(yùn)行框, 輸入control.exe進(jìn)入控制面板, 點(diǎn)擊系統(tǒng)和安全-Windows Defender 防火墻-啟動(dòng)或關(guān)閉Windows Defender 防火墻, 關(guān)閉防火墻:

• 返回上一層, 點(diǎn)擊高級設(shè)置-入站規(guī)則, 開啟如下選項(xiàng):

• win鍵+r打開運(yùn)行框, 輸入gpedit.msc進(jìn)入本地組策略編輯器, 選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-本地策略-安全選項(xiàng), 找到網(wǎng)絡(luò)訪問: 本地帳戶的共享和安全模型, 選擇經(jīng)典:

• 這里添加用戶前面已經(jīng)說了, win鍵+e進(jìn)入文件資源管理器, 選擇這臺電腦-右鍵屬性-遠(yuǎn)程設(shè)置-遠(yuǎn)程. 點(diǎn)擊選擇用戶-添加-高級-立即查找, 添加對應(yīng)用戶:

登錄中

• 然后回到客戶機(jī), 輸入win鍵+r打開運(yùn)行框, 輸入mstsc進(jìn)入遠(yuǎn)程桌面. 如圖:

• ip就是服務(wù)器的ip, 用ipconfig看下就行. 用戶名注意, 是你服務(wù)器計(jì)算機(jī)名++用戶名.

• 如何查看服務(wù)器計(jì)算機(jī)名, win鍵+e進(jìn)入文件資源管理器, 選擇這臺電腦-右鍵屬性, 這里是StudioX. 用戶名就是建立的用戶.

• 這里在選擇本地資源, 可以勾選打印機(jī)和剪貼板功能:

多用戶登錄

單用戶遠(yuǎn)程登錄是沒問題了, 多用戶會(huì)出現(xiàn)被擠下去的情況. win鍵+r打開運(yùn)行框, 輸入gpedit.msc進(jìn)入本地組策略編輯器, 選擇管理模板-Windows組件-遠(yuǎn)程桌面服務(wù)-遠(yuǎn)程桌面會(huì)話主機(jī)-連接, 修改限制連接的數(shù)量和將遠(yuǎn)程桌面服務(wù)用戶限制到單獨(dú)的遠(yuǎn)程桌面服務(wù)會(huì)話:

然后下載RDPWrap, 解壓后管理員身份運(yùn)行其中的install.bat, 運(yùn)行完成后運(yùn)行RDPConf.exe, 如果Listener state顯示為Listening [not supported], 則需要運(yùn)行update.bat, 之后可以重啟看看, 但是基本上是沒救了的, 如果成功了, 可以運(yùn)行RDPConf.exe測試下. 這里就要進(jìn)入修改dll文件的階段了.

修改termsrv.dll

連接到服務(wù)器, 來到C:\Windows\System32目錄, 搜索termsrv.dll:

首先備份一下這個(gè)文件, 你需要trustedinstaller的權(quán)限, 選中termsrv.dll-右鍵屬性-安全-高級-更改-高級-立即查找, 找到當(dāng)前用戶, 添加返回. 退回到安全那一頁, 點(diǎn)擊編輯, 設(shè)置完全控制即可. 這樣就可以把文件備份.

然后用可以修改HEX的軟件, 這里我推薦Tiny Hexer, 打開termsrv.dll. 我的版本是1803:
搜索 8B 99 3C 06 00 00 8B B9 38 06 00 00
替換成 B8 00 01 00 00 89 81 38 06 00 00 90
其他版本可以參看這個(gè)文章
然后你就可以多用戶遠(yuǎn)程登錄了.

最后

這樣子, cxk帳戶就是一個(gè)廢人了, 不能安裝軟件, 不能訪問驅(qū)動(dòng)器, 只能在桌面中操作軟件. 并且你也可以創(chuàng)建多個(gè)標(biāo)準(zhǔn)或者管理員用戶遠(yuǎn)程登錄服務(wù)器.