這樣做其實不是非常保險，大家要知道，上面的策略只是針對域用戶，如果擁有本地管理員權限的域用戶創建了一個本地管理員帳號，然後再用這個本地管理員帳號登陸計算機呢，那麽退出域還是可以操作。

繼續修改組策略：

一、用戶配置 > 策略 > 管理模板 > Windows 組件 >Microsoft 管理控制臺> 受限的/許可的管理單元/擴展管理單元，找到本地用戶和組，配置為已禁用。

二、用戶配置 >策略 > 管理模板>控制面板，將隱藏指定的“控制面板”項設置為已啟用，在不允許的“控制面板”項的列表裏添加Microsoft.UserAccounts，這是Win7在控制面板裏顯示管理用戶賬戶的項目。

三、用戶配置 >策略 > 管理模板 > 系統 ，將不要運行指定的 Windows 應用程序設置為已啟用，在不允許運行的應用程序列表裏添加Netplwiz.exe，這個是開始運行調出用戶帳戶的程序，繼續在不允許運行的應用程序列表裏添加powershell.exe，防止用戶在powershell下添加用戶。用戶配置 >策略 > 管理模板 > 系統，將阻止訪問命令提示符設置為已啟用，在下方選項中將“是否也要禁用命令提示行腳本處理”設置為是。（這種方法存在漏洞，原理是檢測程序名，如果用戶將程序改名，就可以運行了之後再介紹如何利用哈希規則限制運行某些程序）

經過上面的三步之後，域用戶即便擁有本地管理員權限也無處添加本地管理員帳號了，更嚴謹變態的作法就是客戶機還應開啟BIOS密碼，並且配置本地硬盤為第一啟動項，以防止用戶在PE環境下開啟本地administrator帳號（Win7以上系統在加入域後會默認將administrator帳號禁用）

AD域用戶加入本地管理員後限制退域-Win2008/2012