Làm cách nào để thực hiện từ xa một khóa chuyển đổi trên Windows 7?

Tôi cần thực hiện từ xa một khóa chuyển đổi trên máy tính Windows 7 Enterprise được kết nối với AD. Cụ thể, tôi cần phải

• truy cập từ xa vào máy mà không có sự tương tác người dùng có thể nhìn thấy (Tôi có tài khoản miền là quản trị viên trên máy)
• làm cho nó không thể sử dụng được máy (gặp sự cố / khởi động lại và không khởi động lại)
• giữ gìn nội dung của máy (có thể ghi lại những gì đã thay đổi)

Máy phải bị hỏng đủ để xử lý sự cố cơ bản + không thành công và yêu cầu phải mang đến bàn trợ giúp của công ty.

Để dự đoán các bình luận: Tôi hiểu rằng điều này nghe có vẻ mờ ám nhưng hành động này là bắt buộc, có thẩm quyền và hợp pháp - trong môi trường công ty.

Đến từ nền tảng Unix, tôi không biết điều gì khả thi từ xa trên máy Windows. Lý tưởng nhất (và một lần nữa, với một nền tảng unix trong tâm trí) tôi sẽ xem xét các hành động như

• xóa MBR và buộc khởi động lại
• loại bỏ chìa khóa. dlls sẽ không được tự động phục hồi trong khi khởi động an toàn

EDIT theo ý kiến: đây là một trường hợp pháp y rất cụ thể cần được xử lý thông qua cách thức phức tạp này.

Bạn không cần phải thực sự phá hủy máy; chỉ cần buộc nó tắt và khóa người dùng.

• Chạy shutdown /m <machinename> /f /t 0để buộc máy tính tắt máy.
• Vô hiệu hóa tài khoản người dùng Active Directory cho người dùng.
• Vô hiệu hóa tài khoản người dùng Active Directory cho máy tính.

Chỉ cần đảm bảo tắt máy tính trước khi vô hiệu hóa tài khoản của nó, nếu không bạn sẽ bị khóa khỏi quản lý từ xa vì nó sẽ không còn có thể xác thực bất kỳ ai chống lại tên miền, bao gồm cả chính bạn.

Nếu người dùng cũng có tài khoản người dùng cục bộ trên máy tính mục tiêu, bạn có thể vô hiệu hóa nó trước khi thực hiện các bước trên; bạn có thể làm như vậy bằng cách khởi động MMC Quản lý máy tính trên bất kỳ máy tính nào khác với tư cách là quản trị viên tên miền và kết nối nó từ xa với máy tính bạn muốn quản lý; từ đó, bạn cũng có thể thực hiện bất kỳ bước cần thiết nào khác để đảm bảo không ai có thể đăng nhập vào máy bằng tài khoản người dùng cục bộ (như vô hiệu hóa chúng hoặc thay đổi mật khẩu của họ).

Lưu ý bên lề: nếu đây là vấn đề pháp lý / tuân thủ, đây là một lý do rất mạnh mẽ để không thay đổi hoặc xóa bất cứ điều gì trên máy; nếu không, người dùng sau đó có thể nói (có lẽ chính xác) máy đã bị giả mạo; Ngoài ra, nếu bạn xóa bất cứ thứ gì trên hệ thống tệp, bạn có thể mất dữ liệu có giá trị (ai có thể biết liệu người dùng có lưu trữ các tệp hoặc ứng dụng cá nhân trong các thư mục hệ thống không?).

Như tôi đã nói nhiều lần, nếu đây là một trường hợp pháp y tôi mạnh mẽ khuyên bạn chống lại làm bất cứ điều gì khác hơn về thể chất sẽ ở đó và chọn lên máy; Giả mạo bằng mọi cách buộc phải vô hiệu hóa bất kỳ bằng chứng pháp lý nào có thể đến từ nó.

Điều đó nói rằng, có một số cách để khiến máy không thể khởi động trong khi làm hỏng nó ít nhất có thể, tùy thuộc vào cách hệ thống thực sự được cài đặt (sự khác biệt chính là nếu hệ thống dựa trên BIOS hoặc UEFI và nếu sử dụng phân vùng khởi động so với các tệp khởi động đang được lưu trữ trên phân vùng hệ thống); đây là một số tùy chọn:

• Xóa nội dung của phân vùng khởi động và / hoặc phân vùng UEFI (thường bị ẩn nhưng bạn có thể gắn kết nó); hoặc xóa các tệp khởi động khỏi phân vùng hệ thống, nếu không sử dụng phân vùng khởi động.
• Xóa tập tin C:\bootmgr.
• Thay đổi cấu hình trình quản lý khởi động bằng cách sử dụng bcdedit.exe.
• Thay đổi bảng phân vùng để không có phân vùng hoạt động.

Và như thế; gây rối với trình quản lý khởi động thường là cách tốt nhất để khiến hệ thống không thể khởi động, trong khi không thực sự làm hỏng hệ thống. Nhưng vì các hệ thống Windows hiện đại có một số cách khởi động khả thi, nên không có cách tiếp cận phổ quát (vì hệ thống UEFI hoàn toàn không dựa vào MBR và chỉ không quan tâm đến phân vùng hoạt động, nếu có).

Nếu bạn giới hạn sự can thiệp của mình vào các tệp khởi động, hệ thống thực tế sẽ không bị ảnh hưởng và bạn sẽ có thể khôi phục tất cả nội dung của nó (và thậm chí để khởi động lại nếu bạn hoàn tác hư hỏng).

Một số câu hỏi:

• Có bất kỳ lý do bạn cần phải đi một con đường phá hoại?

Nếu có, hãy đi với câu trả lời của @ frupfrup.

• Có phải người dùng chỉ có một tên đăng nhập tên miền, hoặc họ cũng có một đăng nhập cục bộ?
• Làm thế nào nhanh chóng để có hiệu lực này?

Một điều khác bạn có thể làm là gây ra lỗi đăng nhập thư mục hoạt động chung. Trước tiên, vô hiệu hóa đăng nhập được lưu trong bộ nhớ cache trên máy đó, sau đó vô hiệu hóa hoặc xóa tài khoản máy tính trong thư mục hoạt động. Để làm cho nó trông giống như máy tính đã phù hợp, bạn có thể thực hiện một cách đơn giản get-process | stop-process -forcetrong một phiên quyền hạn từ xa. Hoặc thậm chí taskkill /im csrss.exe /ftrong một dấu nhắc lệnh từ xa, sử dụng psexec hoặc tương tự.

Khi nó "gặp sự cố" sau đó khởi động lại và người dùng cố gắng đăng nhập, anh ta sẽ nhận được một loại lỗi chung "Máy tính này không thể được xác thực đối với tên miền", IIRC. Tôi sẽ kiểm tra tất cả những điều này trên một cái gì đó đầu tiên; Vấn đề xác thực có thể không có hiệu lực ngay lập tức hoặc các cửa sổ có thể đủ thông minh để ngăn bạn chạy các lệnh đó.

Có rất nhiều điều bạn có thể làm để ngăn người dùng sử dụng máy tính.

Tuy nhiên, không ai trong số họ sẽ không được người dùng chú ý vì tất cả trong số họ sẽ khiến anh ta gọi cho Bộ phận Trợ giúp. Cho dù điều đó làm cho thiết bị không thể khởi động, vô hiệu hóa tài khoản của anh ta, vô hiệu hóa Tài khoản máy tính trong AD hoặc tất cả các mục trên.

Chúng tôi gặp vấn đề tương tự khi người dùng từ xa không tuân thủ và trả lại máy tính xách tay đã được thay thế nhưng họ vẫn tiếp tục sử dụng nó (vì sự lười biếng). Tuy nhiên, trong trường hợp của chúng tôi, nó rất đơn giản vì chúng tôi không cố gắng thực hiện bất kỳ pháp y nào. Điều khiển từ xa vào máy tính, xóa tài khoản Người dùng cục bộ, xóa khỏi Miền và Xóa Máy tính khỏi AD. Viola người dùng không còn có thể sử dụng và chúng tôi hoàn toàn không làm cho máy tính xách tay trở nên vô dụng.

Tôi thực sự không biết cách làm cho máy tính trở nên vô dụng đối với người dùng mà không có họ biết và / hoặc nhờ họ gọi cho Bộ phận Trợ giúp để vận hành, v.v.