Назад | Перейти на главную страницу

Как мне удалить пользователей из группы администраторов без Active Directory?

Контекст: я новый младший системный администратор и унаследовал небольшую офисную рабочую группу, состоящую примерно из 12 компьютеров с Windows, производственные файловые серверы и серверы резервного копирования, а также сервер sql. Все учетные записи пользователей на файловом сервере являются членами группы администраторов. Я понимаю, что это создает уязвимость. Вдобавок начальство хотело бы, чтобы определенные каталоги на файловом сервере были закрыты для обычных пользователей.

Как я могу удалить своих пользователей из группы администраторов и распределить их по двум уровням обычных учетных записей и избежать неудобств, простоев производства и т. Д.?

Я полностью за автоматизацию, если это возможно, поэтому я не боюсь писать сценарии в файлах .bat или powershell, хотя мой powershell ржавый, а мои сценарии .bat хакерские.

Вам следует создать домен.

Шутки в сторону. Я бы не хотел управлять тремя компьютерами с Windows без домена (Active Directory), не говоря уже о двенадцати.
Если начальство хочет ограничить уровни доступа к определенным каталогам, единственный способ сделать это управляемым способом - использовать Active Directory, даже для «всего 12» машин / пользователей.
Лучший вариант и для вас лично. «Управлял кучей компьютеров в рабочей группе» - довольно глупая строчка в резюме. Напротив, «Создание, настройка и управление новым доменом Windows Active Directory для [компании]» - довольно хороший пункт в резюме.

Предполагая, что вы не можете настроить домен (и Server 2003), я бы предпочел psexec, который является частью SysInternals Suite для удаленного подключения, а затем команды NET USER и NET GROUP для фактического добавления. Это позволит вам вносить изменения, не сбивая людей с компьютера, как показано ниже.

Загрузите пакет SysInternals.
Откройте командную строку (cmd.exe)
Подключитесь к компьютеру, на котором хотите внести изменения.
- psexec \\thecomputeryouwanttomakechangeson\ cmd
Выполните желаемую команду NET USER или NET GROUP.
- NET LOCALGROUP Administrators someuser /ADD
- NET LOCALGROUP Administrators someotheruser /DEL
- В предоставленной ссылке есть лучшие примеры и полный синтаксис, помните, что вы используете LOCALGROUP и LOCALUSER в таком случае..

Вы можете получить список пользователей, которые в настоящее время находятся в группе администраторов:

net localgroup administrators > userlist.txt

Затем вы можете разделить пользователей из этого вывода на списки tier1 и tier2 и просмотреть списки.

$tier1file="c:\path\to\tier1users.txt" 
$tier2file="c:\path\to\tier2users.txt"

foreach ($user in get-content $tier1file)
{
    net localgroup administrators $user /del
    net localgroup tier1 $user /add
}

foreach ($user in get-content $tier2file)
{
    net localgroup administrators $user /del
    net localgroup tier2 $user /add
}

Или что-то вроде того.

Если все машины настроены одинаково, вы, вероятно, могли бы получить более интересный вариант, но машины без AD часто не идентичны.