Ich möchte die Berechtigungen lokaler Administratoren auf den Rechnern meiner Domäne deaktivieren. Ist das möglich? Und nur den Domänenadministratoren Administratorrechte erteilen. Und ich möchte das mit Gruppenrichtlinien tun.
Hauptsächlich möchte ich den Benutzern die Berechtigung zum Installieren/Deinstallieren von Programmen entziehen, auch wenn sie lokale Administratoren ihrer Computer sind.
Antwort1
Nehmen Sie die Benutzer aus der Gruppe „lokale Administratoren“.
Der manuelle Vorgang wäre, zum Computer zu gehen, „Start“ > „Computer rc“ und dann „Computer verwalten“ auszuwählen. Wählen Sie „Lokale Benutzer und Gruppen“, „Gruppen“ und doppelklicken Sie dann auf „Administratoren“. Entfernen Sie die Benutzer aus dieser Gruppe.
Es ist jedoch wahrscheinlich am besten, Domänenadministratoren nicht aus dieser Gruppe zu entfernen. Wenn Sie der lokalen Administratorgruppe jegliche Aktionen verweigern, können andere Probleme auftreten.
Möglicherweise stellen Sie jedoch fest, dass viele Dinge für die Benutzer nicht mehr funktionieren. Wenn sie also etwas Seltsames und Wunderbares getan haben, ist die Benutzeroberfläche von Power Users möglicherweise die beste Anlaufstelle.
Wenn Sie dies über die Gruppenrichtlinie tun möchten, müssten Sie vermutlich ein Skript erstellen und es dann als Startskript ausführen.
Ihr Skript würde dann „net localgroup administrators naughtyusers /delete“ verwenden.
Antwort2
Wie @Tubs schon sagte, versuchen Sie nicht, die lokale Administratorengruppe zu lähmen. Fügen Sie Ihre Endbenutzer einfach nicht dieser Gruppe hinzu. Power User erteilen ihnen die Berechtigung, so ziemlich alles zu tun, was ein Administrator tun kann, aber nicht die systemweite Konfiguration zu ändern. Obwohl sie Änderungsrechte für die Registrierung haben, kann ich mir mit der Zeit und einer Registrierungsdatei keine Einstellung vorstellen, die sie nicht ändern könnten.
Gruppenrichtlinien können die Mitgliedschaft lokaler Gruppen direkt steuern. Ich habe das Admin-Tool im Moment nicht zur Verfügung, aber es ist so etwas wie „eingeschränkte Gruppen“. Was Sie hier angeben, wird zur vollständigen Mitgliedschaft der Gruppe. Sie können Gruppenrichtlinien nicht anweisen, Änderungen an der Mitgliedschaft einer lokalen Gruppe vorzunehmen, sondern nur die Mitgliedschaft vollständig durch die von Ihnen angegebene Liste ersetzen. Denken Sie also daran, Domänenadministratoren in die Administratorgruppe aufzunehmen.
Antwort3
Ich habe nicht genug Ansehen, um @pipTheGeek zu kommentieren, aber der Pfad in GP ist Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Eingeschränkte Gruppen.
Antwort4
Einfacher CMD-Befehl: NET LOCALGROUP-Administratoren [Benutzername] /delete