Windows 7에서 원격으로 킬 스위치를 수행하는 방법은 무엇입니까?

AD에 연결된 Windows 7 Enterprise 컴퓨터에서 원격으로 킬 스위치를 수행해야합니다. 구체적으로 말하자면

• 사용자 상호 작용없이 컴퓨터에 원격으로 액세스 (컴퓨터의 관리자 인 도메인 계정이 있음)
• 머신을 사용할 수 없도록 만드십시오 (크래시 / 재부팅 및 다시 부팅하지 않음)
• 기계의 내용물을 보존하십시오 (변경된 내용을 문서화 할 수 있음)

기본 + 문제 해결에 실패 할 정도로 기계가 손상되어 회사 헬프 데스크로 가져와야합니다.

의견을 예상하기 위해 :이 내용은 어리석게 들리지만 회사 환경 내에서 승인되고 합법적이어야합니다.

유닉스 배경에서 나오면 Windows 시스템에서 원격으로 가능한 것이 무엇인지 알 수 없습니다. 이상적으로 (그리고 유닉스 배경을 염두에두고) 나는 같은 행동을보고있을 것입니다.

• MBR 지우기 및 재부팅 강제
• 키를 제거합니다. dll안전 부팅 중에 자동으로 복구되지 않는

다음 주석 편집 :이 복잡한 방법을 통해 처리해야하는 매우 특정한 법의학 사건입니다.

실제로 기계를 파괴 할 필요는 없습니다. 강제로 종료하고 사용자를 잠그십시오.

• shutdown /m <machinename> /f /t 0컴퓨터를 강제 종료하려면 실행하십시오 .
• 사용자의 Active Directory 사용자 계정을 비활성화하십시오.
• 컴퓨터의 Active Directory 사용자 계정을 비활성화합니다.

계정을 비활성화 하기 전에 컴퓨터를 종료해야 합니다. 그렇지 않으면 자신을 포함하여 더 이상 도메인에 대해 다른 사람 을 인증 할 수 없기 때문에 원격 관리 가 차단됩니다 .

사용자가 대상 컴퓨터에 로컬 사용자 계정도있는 경우 위 단계를 수행하기 전에 비활성화 할 수 있습니다. 다른 컴퓨터에서 컴퓨터 관리자 MMC를 도메인 관리자로 시작하고 관리하려는 컴퓨터에 원격으로 연결하면됩니다. 여기에서 로컬 사용자 계정 (예 : 비활성화 또는 비밀번호 변경)을 사용하여 아무도 컴퓨터에 로그인 할 수 없도록 필요한 다른 단계를 수행 할 수 있습니다.

참고 : 법적 / 규정 준수 문제인 경우 컴퓨터의 어떤 것도 변경하거나 삭제하지 않는 매우 강력한 이유 입니다. 그렇지 않으면 사용자는 나중에 기계가 변조되었다고 말할 수 있습니다 (아마도 올바르게). 또한 파일 시스템에서 무언가를 삭제하면 귀중한 데이터가 손실 될 수 있습니다 (사용자가 개인 파일이나 응용 프로그램을 시스템 폴더에 저장했는지 여부를 알 수 있습니까?).

이미 여러 차례 말했듯이, 이것이 법의학 사건이라면 물리적으로 거기에 가서 기계를 집어 올리는 것 이외의 행동을하지 말 것을 강력히 권합니다. 어떤 식 으로든 그것을 조작하는 것은 그로부터 올 수있는 법적 증거를 무효화해야합니다.

즉, 시스템이 실제로 설치되는 방법 (시스템이 BIOS 또는 UEFI 기반인지 부팅 파티션을 사용하는지에 따라 큰 차이가 있음)에 따라 가능한 한 적게 손상하면서 시스템을 부팅 할 수 없게 만드는 방법에는 여러 가지가 있습니다. 시스템 파티션에 저장된 부트 파일) 몇 가지 옵션이 있습니다.

• 부팅 파티션 및 / 또는 UEFI 파티션의 내용을 삭제합니다 (일반적으로 숨겨져 있지만 마운트 할 수 있음). 부팅 파티션을 사용하지 않는 경우 시스템 파티션에서 부팅 파일을 삭제하십시오.
• 파일을 삭제하십시오 C:\bootmgr.
• 를 사용하여 부팅 관리자 구성을 변경하십시오 bcdedit.exe.
• 파티션 테이블에 활성 파티션이 없도록 변경하십시오.

등등; 일반적으로 부팅 관리자를 엉망으로 만드는 것은 실제로 시스템을 손상시키지 않으면 서 부팅 할 수없는 가장 좋은 방법입니다. 그러나 최신 Windows 시스템에는 몇 가지 가능한 부팅 경로가 있으므로 보편적 인 접근 방식은 없습니다 (UEFI 시스템은 MBR에 전혀 의존하지 않으며 활성 파티션 (있는 경우) 만 신경 쓰지 않습니다).

부팅 파일에 대한 개입을 제한하면 실제 시스템은 그대로 유지되며 모든 내용을 복구 할 수 있습니다 (손상을 취소하면 다시 부팅 할 수도 있음).

몇 가지 질문 :

• 파괴적인 길을 가야 할 이유가 있습니까?

그렇다면 @frupfrup의 답변으로 이동하십시오.

• 사용자는 도메인 로그온 만 가지고 있거나 로컬 로그인도 가지고 있습니까?
• 이것이 얼마나 빨리 적용되어야합니까?

또 다른 방법으로 일반 Active Directory 로그인 오류가 발생할 수 있습니다. 먼저 해당 컴퓨터에서 캐시 된 로그인을 비활성화 한 다음 Active Directory에서 컴퓨터 계정 을 비활성화하거나 삭제하십시오 . 컴퓨터가 적합한 것처럼 보이게하려면 get-process | stop-process -force원격 powershell 세션에서 간단하게 수행 할 수 있습니다. 또는 taskkill /im csrss.exe /fpsexec 등을 사용하여 원격 명령 프롬프트에서도 사용할 수 있습니다.

"크래쉬"한 다음 다시 부팅하고 사용자가 로그인을 시도하면 다소 일반적인 "이 컴퓨터는 도메인에 대해 인증 할 수 없습니다"오류 유형 IIRC가 표시됩니다. 먼저이 모든 것을 먼저 테스트 할 것입니다. 인증 문제가 즉시 적용되지 않거나 Windows가 이러한 명령을 실행하지 못하게 할 정도로 똑똑 할 수 있습니다.

사용자가 컴퓨터를 사용하지 못하도록하기 위해 할 수있는 일이 많이 있습니다.

그러나 사용자는 모두 헬프 데스크에 전화하게되므로 사용자는 아무도 알아 채지 못할 것입니다. 장치를 부팅 할 수 없게 만들거나 계정을 비활성화하거나 AD에서 컴퓨터 계정을 비활성화하거나 위의 모든 것을 비활성화하는지 여부

원격 사용자가 교체 한 랩톱을 준수하지 않고 반품 할 때 비슷한 문제가 발생하지만 계속 사용합니다 (게으름). 그러나 우리의 경우 법의학을 시도하지 않기 때문에 매우 간단합니다. 컴퓨터에 원격으로 연결하여 로컬 사용자 계정을 삭제하고 도메인에서 제거하고 AD에서 컴퓨터를 삭제하십시오. 비올라 사용자는 더 이상 사용자를 사용할 수 없으며 노트북을 전혀 쓸모 없게 만들지 않았습니다.

나는 솔직히 헬프 데스크에 전화하여 컴퓨터 등을 작동시키지 않고 사용자에게 컴퓨터를 쓸모 없게 만드는 방법을 솔직히 모른다.