Я хочу отключить разрешения локальных администраторов на машинах моего домена, возможно ли это? И предоставить права администрирования только администраторам домена. И я хочу сделать это с помощью групповых политик.
В основном я хочу отключить разрешение на установку / удаление программ для пользователей, хотя они являются локальными администраторами своих машин.
Уберите пользователей из групп "локальных админов".
Ручной процесс будет заключаться в том, чтобы перейти к компьютеру, запустить> rc my computer, а затем «Управление компьютером». Выберите «Локальный пользователь и группы», «Группы», затем дважды щелкните «Администраторы». Удалите пользователей из этой группы.
Вероятно, лучше не удалять администраторов домена из этой группы, и если вы отключите локальную группу администраторов от каких-либо действий, у вас могут возникнуть другие проблемы.
Вы можете обнаружить, что многие вещи перестанут работать для пользователей, поэтому опытные пользователи могут быть лучшим местом для них, если они сделали что-то странное и чудесное.
Если бы вы хотели сделать это с помощью групповой политики, я думаю, вам нужно было бы написать что-нибудь, а затем запустить его как сценарий запуска.
Затем ваш сценарий будет использовать "net localgroup administrators naughtyusers / delete"
Как сказал @Tubs, не пытайтесь нанести вред группе локальных администраторов. Только не помещайте своих конечных пользователей в эту группу. Опытные пользователи дадут им разрешение делать практически все, что может делать администратор, но не изменять конфигурацию всей системы. Хотя у них есть права на изменение реестра, так что с учетом времени и файла reg, я не вижу никаких настроек, которые они не могли бы изменить.
Групповая политика может напрямую управлять членством в локальных группах. На данный момент у меня нет доступного инструмента администрирования, но это что-то вроде «ограниченных групп». То, что вы укажете здесь, станет полным членством в группе, вы не можете указать групповой политике, чтобы вносить изменения в членство в локальной группе, только полностью замените членство указанным вами списком, поэтому не забудьте включить администраторов домена в группу администраторов .
У меня недостаточно представителей, чтобы прокомментировать @pipTheGeek, но путь в GP - Computer Configuration \ Windows Settings \ Security Settings \ Restricted Groups.
Нет простого способа отказать местным администраторам в праве на установку программного обеспечения. Вы можете изменить разрешения для C: \ Program Files и различных разделов реестра, но, конечно же, будучи локальными администраторами, пользователи имеют право изменить разрешения обратно.
Единственный хороший способ сделать это - создать новую группу, которая предоставит вашим пользователям необходимые им права и не допускает пользователей к группе локальных администраторов.
В качестве альтернативы используйте какую-либо форму аудита, чтобы определить, установили ли они то, чего не следует.
Это было большой проблемой, когда шпионское ПО было настолько распространено, но большинство современных антивирусных программ довольно хорошо останавливают установку шпионского ПО.
JR
Простая команда CMD: администраторы NET LOCALGROUP [UserName] / delete
Если вы используете расширения групповой политики Win2008, есть способ изменить группу локальных администраторов, а не полностью перезаписать ее, как это делает политика ограниченных групп.
Взгляните на эту статью: http://www.windowsecurity.com/articles/Securing-Local-Administrators-Group-Every-Desktop.html