Mein Arbeits-PC ist Teil unserer Firmendomäne. Wenn ich das richtig verstehe, hat unser Domänenadministrator dadurch die Möglichkeit, einige Dinge zu ändern oder zu steuern, beispielsweise die automatische Aktualisierung von Windows zu erzwingen.
Aus verschiedenen Gründen, beispielsweise für den Zugriff auf Domänenressourcen, muss der PC mit der Domäne verbunden sein (anstatt mit einer lokalen Arbeitsgruppe). Ohne dies kann ich beispielsweise Windows-Dienste nicht unter einem Domänenbenutzer ausführen lassen (soweit ich weiß).
Da dieser PC für die Entwicklung verwendet wird, möchte ich die volle Kontrolle darüber haben und beispielsweise (vorübergehend) keine Updates zulassen.
Ist es möglich, anderen (Domänen-)Benutzern, beispielsweise dem Domänenadministrator, den gesamten Zugriff zu verweigern?
Antwort1
Dies ist nicht möglich, ein Domänenadministrator muss immervoller Zugriffauf jede Maschine in der Domäne (jedenfalls in einer Windows-Umgebung). Der Domänenadministrator kann Ihrem Kontolokaler AdministratorZugriff auf den Computer, den Sie verwenden, und wenn Ihre DomainNICHTmitGruppenrichtlinienobjekte(Gruppenrichtlinienobjekte), um Einstellungen durchzusetzen. Anschließend können Sie beispielsweise das Aktualisierungsverhalten ändern.
Die Alternative besteht darin, (sehr nett, seien Sie immer nett zu Ihren Administratoren) den Domänenadministrator zu bitten,GPOs nicht auf Ihren PC anwenden, oder wenden Sie nur GPOs an, die die von Ihnen zu konfigurierenden Einstellungen nicht beeinträchtigen, oder (wenn Sie wirklich sehr nett zu ihm sind) lassen Sie sich von ihm ein benutzerdefiniertes GPO erstellen, das auf Ihre Anforderungen zugeschnitten ist.
Aber als Antwort auf Ihre Hauptfrage:NEINist es nicht möglich, einem Domänenadministrator den Zugriff auf Ihren PC zu verweigern, da Sie damit genau den Zweck von Domänen umgehen würden: Sie würden verlangen, dass Sie das Verhalten Ihres PCs ändern dürfen, und hoffen, dass Ihr Domänenadministrator zustimmt.
Antwort2
Dies lässt sich umgehen, indem Sie Ihre Umgebung auf eine VM portieren. Dann erhalten Sie die volle Kontrolle über den Domänenadministrator oder zumindest über die lokalen Systemressourcen :-)