ドメインのマシンでローカル管理者の権限を無効にし、ドメイン管理者にのみ管理権限を付与したいのですが、これは可能ですか? また、グループ ポリシーを使用してこれを実行したいと考えています。
主に、ユーザーがマシンのローカル管理者であっても、プログラムのインストール/アンインストールの権限を無効にしたいと考えています。
答え1
ユーザーを「ローカル管理者」グループから外します。
手動のプロセスは、コンピューターに移動し、スタート > rc my computer を選択してから、「コンピューターの管理」を選択します。「ローカル ユーザーとグループ」、「グループ」を選択し、administrators をダブルクリックします。そのグループからユーザーを削除します。
ただし、このグループからドメイン管理者を削除しない方がおそらく最善です。また、ローカル管理者グループが何もできないように無効にすると、他の問題が発生する可能性があります。
ただし、ユーザーにとって多くの機能が動作しなくなる可能性があります。そのため、ユーザーが何か奇妙で素晴らしいことをした場合は、Power Users にアクセスするのが最適な場所かもしれません。
グループ ポリシーでこれを実行したい場合は、スクリプトを作成して、それをスタートアップ スクリプトとして実行することを検討することになると思います。
スクリプトでは「net localgroup administrators naughtyusers /delete」を使用します。
答え2
@Tubs が言ったように、ローカル管理者グループを無効にしようとしないでください。エンド ユーザーをそのグループに入れないでください。パワー ユーザーは、管理者が実行できるほぼすべての操作を実行する権限をエンド ユーザーに与えますが、システム全体の構成を変更する権限は与えません。ただし、エンド ユーザーはレジストリを変更する権限を持っているため、時間と reg ファイルがあれば、変更できない設定があるとは思えません。
グループ ポリシーは、ローカル グループのメンバーシップを直接制御できます。現時点では管理ツールは利用できませんが、「制限されたグループ」のようなものです。ここで指定した内容がグループの完全なメンバーシップになります。グループ ポリシーにローカル グループのメンバーシップを変更するように指示することはできません。メンバーシップを指定したリストに完全に置き換えることしかできません。そのため、管理者グループにドメイン管理者を含めることを忘れないでください。
答え3
@pipTheGeek にコメントするには十分な権限がありませんが、GP のパスは「コンピューターの構成\Windows の設定\セキュリティの設定\制限されたグループ」です。
答え4
簡単なCMDコマンド: NET LOCALGROUP administrators [ユーザー名] /delete