В локальной сети Windows Server 2003 / XP пользователи домена без прав администратора могут управлять пользователями и группами локального компьютера, включая изменение пароля администратора и становиться администраторами локального компьютера.
Как это возможно и как это предотвратить?
Убедитесь, что сотрудники не являются местными администраторами, проверив местный Группа администраторов на машине.
У вас должна быть возможность удалить их, создав объект групповой политики, который управляет группой безопасности локальных администраторов. Это можно сделать с помощью раздела «Группы с ограниченным доступом» в вашем GPO:
Конфигурация компьютера -> Политики -> Параметры Windows -> Параметры безопасности -> Группы с ограниченным доступом
(NB: имейте в виду, что это эффективно перезапишет группу локальных администраторов, поэтому убедитесь, что вы включили всех, кто должен быть локальным администратором)
Или, если вы настроили предпочтения групповой политики, вы также можете использовать их для большей гибкости.