ADに接続されたWindows 7 Enterpriseコンピューターでリモートでkill-switchを実行する必要があります。具体的には、私はする必要があります
マシンは、基本的なトラブルシューティングが失敗するほど損傷しており、会社のヘルプデスクに持っていく必要があります。
コメントを予測するために:私はこれは疑わしいように聞こえるが、このアクションは企業環境内で必要であり、認可され、合法であると理解しています。
Unixの背景から来たのですが、Windowsマシンでリモートで何が可能かわかりません。理想的には(また、UNIXの背景を念頭に置いて)、次のようなアクションを検討します。
dll
sを削除する次のコメントを編集:これは非常に特殊なフォレンジックのケースであり、この複雑な方法で処理する必要があります。
実際にマシンを破壊する必要はありません。強制的にシャットダウンしてユーザーをロックアウトします。
shutdown /m <machinename> /f /t 0
を実行して、コンピュータを強制的にシャットダウンします。コンピュータをシャットダウンすることを確認してくださいbeforeそのアカウントを無効にしてください。そうしないと、認証できなくなるため、リモート管理からロックアウトされます自分を含むドメインに対する誰でも。
ユーザーがターゲットコンピューターにローカルユーザーアカウントも持っている場合は、上記の手順を実行する前にそれを無効にすることができます。コンピュータの管理MMCをドメイン管理者として他のコンピュータで開始し、管理するコンピュータにリモートで接続することにより、これを行うことができます。そこから、他の必要な手順を実行することもできます。ローカルユーザーアカウントを使用してマシンにログインできないようにします(アカウントの無効化やパスワードの変更など)。
補足:これが法的/コンプライアンスの問題である場合、これは変更または削除しないをオンにする非常に強い理由ですこの機械;そうでなければ、ユーザーは後で(おそらく正しく)マシンが改ざんされたと言う可能性があります。また、ファイルシステムで何かを削除すると、貴重なデータが失われる可能性があります(ユーザーが個人用のファイルまたはアプリケーションをシステムフォルダーに保存しているかどうかは誰が知ることができますか?)。
私がすでに何度か言ったように、これがフォレンジックのケースである場合、私はstronglyそこに物理的に行くこと以外のことをしないようにアドバイスします機械を持ち上げます。 anyの方法でそれを改ざんすると、それに起因する可能性のある法的証明が無効になります。
とはいえ、システムが実際にインストールされている方法(システムがBIOSまたはUEFIベースであるかどうか、およびブートパーティションが使用されているかどうかによる主な違い)に応じて、マシンをできるだけ損傷せずにブートできないようにする方法はいくつかありますシステムパーティションに格納されているブートファイルとの違い);ここにいくつかのオプションがあります:
C:\bootmgr
を削除します。bcdedit.exe
を使用して、ブートマネージャー構成を変更します。等々;ブートマネージャーをいじることは、システムを実際に損傷させない一方で、システムをブート不能にするための最良の方法です。しかし、最近のWindowsシステムにはいくつかの可能なブートパスがあるため、普遍的なアプローチはありません(つまり、UEFIシステムはMBRにまったく依存せず、アクティブパーティションがあってもそれを気にしません)。
ブートファイルへの介入を制限すると、実際のシステムは影響を受けず、すべての内容を回復できます(損傷を元に戻した場合は、再度ブートすることもできます)。
いくつかの質問:
はいの場合は、@ frupfrupの答えを使用してください。
もう1つのことは、一般的なActive Directoryログインエラーを引き起こすことです。最初にそのマシンでキャッシュされたログインを無効にし、次にActive Directoryでcomputerアカウントを無効にするか削除します。コンピュータにフィットしたように見せるために、単純なget-process | stop-process -force
リモートPowerShellセッションで。あるいは taskkill /im csrss.exe /f
リモートコマンドプロンプトで、psexecなどを使用。
「クラッシュ」してから再起動してユーザーがログインしようとすると、多少一般的な「このコンピューターはドメインに対して認証できませんでした」タイプのエラー、IIRCが表示されます。最初に、これらすべてを何かでテストします。認証の問題がすぐに有効にならない場合や、ウィンドウが十分にスマートであるため、これらのコマンドを実行できない場合があります。
ユーザーがコンピューターを使用できないようにするためにできることはたくさんあります。
ただし、それらのすべてがユーザーにヘルプデスクへの電話をかけるため、ユーザーに気付かれることはありません。それがデバイスを起動不可能にするかどうか、彼のアカウントを無効にするか、ADまたは上記すべてのコンピューターアカウントを無効にするかどうか。
リモートユーザーがコンプライアンスに準拠せず、交換されたラップトップを返却したときにも同様の問題が発生しますが、彼らはそれを使い続けます(怠惰なため)。しかし、私たちのケースでは、フォレンジックを行わないようにしているため、非常に簡単です。コンピューターにリモートで、ローカルユーザーのアカウントを削除し、ドメインから削除し、ADからコンピューターを削除します。ユーザーが使用できなくなったViolaと、ラップトップがまったく役に立たなくなったわけではありません。
私は正直に言って、ユーザーが知らない、またはヘルプデスクを呼び出して操作できるようにしていないユーザーにコンピューターを役に立たなくする方法を知りません。