Quiero deshabilitar los permisos de los administradores locales en las máquinas de mi dominio, ¿es posible?, y solo poner derechos de administración a los Administradores del Dominio. Y quiero hacerlo con Políticas de grupo.
Principalmente quiero deshabilitar el permiso de instalación/desinstalación de programas para los usuarios, aunque sean administradores locales de sus máquinas.
Respuesta1
Saque a los usuarios de los grupos de "administradores locales".
El proceso manual sería ir a la computadora, iniciar > rc my computadora y luego "Administrar computadora". Seleccione "Usuarios y grupos locales", "grupos" y luego haga doble clic en administradores. Elimine a los usuarios de ese grupo.
Probablemente sea mejor no sacar a los administradores de dominio de este grupo, y si desactivas que el grupo de administradores locales haga algo, es posible que tengas otros problemas.
Sin embargo, es posible que descubras que muchas cosas dejarán de funcionar para los usuarios, por lo que Usuarios avanzados podría ser el mejor lugar al que acudir si han hecho algo extraño y maravilloso.
Si quisiera hacer esto según la política de grupo, creo que estaría buscando crear un script y luego ejecutarlo como un script de inicio.
Su script entonces usaría "administradores de grupo local de red naughtyusers /delete"
Respuesta2
Como ha dicho @Tubs, no intente paralizar al grupo de administradores locales. Simplemente no incluya a sus usuarios finales en ese grupo. Los usuarios avanzados les darán permiso para hacer prácticamente todo lo que un administrador puede hacer, pero no cambiar la configuración de todo el sistema. Aunque tienen derechos de modificación del registro, dado el tiempo y el archivo de registro, no veo que haya ninguna configuración que no puedan cambiar.
La política de grupo puede controlar directamente la membresía de grupos locales. No tengo la herramienta de administración disponible en este momento, pero es algo así como "grupos restringidos". Lo que especifique aquí se convertirá en la membresía completa del grupo, no puede indicar a la política de grupo que realice cambios en la membresía de un grupo local, solo reemplace completamente la membresía con la lista que especifique, así que recuerde incluir administradores de dominio en el grupo de administradores. .
Respuesta3
No tengo suficiente representante para comentar en @pipTheGeek, pero la ruta en GP es Configuración del equipo\Configuración de Windows\Configuración de seguridad\Grupos restringidos.
Respuesta4
Comando CMD simple: administradores de NET LOCALGROUP [Nombre de usuario] /eliminar