[VB] 有關 Windows 本機權限

最近公司內部發現了一些資安漏洞，起因是由於 Windows XP 新機裝機時

預設將 Domain Users 加入於本機 Administrators 群組內

這樣作原本是為了方便使用者登入網域時，在本機操作上能夠擁有最大的權限

資訊部門的人員不必為了安裝軟體、印表機…等小事而常往使用者位置跑

但開了方便之門，卻也造成了安全性漏洞，使用者能夠不需經其他使用者開啟分享權限

即能夠以 \\ComputerName\C$ 此方式進入別人電腦硬碟，窺視他人資料
(這也是因為Windows NT 預設硬碟分享的緣故)

為了不讓使用者感覺權限降低了，解決方法不外乎是將 Domain Users 自本機 Administrators 中移除

另外本機 Administrators 只加入擁有此台電腦的使用者 UserAccount，再將 Administrator 帳號停用或更改密碼，雖然治標不治本，但能暫時平息爭論

但要變更此權限設定，一次要改幾百台PC，不是開玩笑的

於是找了一些方法，順便提供給大家，有需要的人可以參考看看：

1.從AD下手，指定 UserAccount 只能登入某些指定的電腦，每個帳號都要設定，只要將 UserAccount 及 ComputerName 對應的 List 以 Script 的方式更新 AD 的設定即可，所有 UserAccount 都只能登入指定的電腦，對網管人員是非常大的負擔。

2.設定 Logon Script ，應用 net localgroup 指令將 Domain Users 自 Administrators 中移除，並將 %USERNAME% 加入 Administrators，使用者無感覺，網管人員亦省了不少事。

3.用程式(如VB)存取 ADSI 對網域中的所有電腦作控制。