내 도메인의 컴퓨터에서 로컬 관리자의 권한을 비활성화하고 싶습니다. 이것이 가능합니까? 그리고 도메인 관리자에게만 관리 권한을 부여합니다. 그리고 그룹 정책을 사용하여 이를 수행하고 싶습니다.
주로 사용자가 컴퓨터의 로컬 관리자이더라도 사용자에게 프로그램 설치/제거 권한을 비활성화하고 싶습니다.
답변1
사용자를 "로컬 관리자" 그룹에서 제거합니다.
수동 프로세스는 컴퓨터로 이동하여 > 내 컴퓨터 rc를 시작한 다음 "컴퓨터 관리"를 수행하는 것입니다. "로컬 사용자 및 그룹", "그룹"을 선택한 다음 관리자를 두 번 클릭합니다. 해당 그룹에서 사용자를 제거합니다.
하지만 이 그룹에서 도메인 관리자를 제외하지 않는 것이 가장 좋을 것입니다. 로컬 관리자 그룹이 어떤 작업도 수행하지 못하도록 비활성화하면 다른 문제가 발생할 수 있습니다.
하지만 많은 일이 사용자를 위해 작동하지 않는다는 것을 알 수 있으므로 고급 사용자가 이상하고 멋진 일을 한 경우 갈 수 있는 가장 좋은 장소일 수 있습니다.
그룹 정책에 따라 이 작업을 수행하려면 무언가를 스크립팅한 다음 시작 스크립트로 실행해야 할 것입니다.
그러면 스크립트는 "net localgroup Administrators naughtyusers /delete"를 사용합니다.
답변2
@Tubs가 말했듯이 로컬 관리자 그룹을 손상시키려고 시도하지 마십시오. 최종 사용자를 해당 그룹에 넣지 마십시오. 고급 사용자는 관리자가 할 수 있는 거의 모든 작업을 수행할 수 있는 권한을 부여하지만 시스템 전체 구성을 변경할 수는 없습니다. 주어진 시간과 reg 파일에 따라 레지스트리에 대한 수정 권한이 있지만 변경할 수 없는 설정이 있는 것을 볼 수 없습니다.
그룹 정책은 로컬 그룹의 구성원 자격을 직접 제어할 수 있습니다. 현재 사용할 수 있는 관리 도구가 없지만 "제한된 그룹"과 같습니다. 여기에서 지정하는 내용은 그룹의 완전한 구성원이 됩니다. 그룹 정책에 로컬 그룹의 구성원 자격을 변경하도록 지시할 수는 없으며, 구성원을 지정한 목록으로 완전히 교체하기만 하므로 관리자 그룹에 도메인 관리자를 포함해야 합니다. .
답변3
@pipTheGeek에 댓글을 달 수 있는 담당자가 충분하지 않지만 GP의 경로는 컴퓨터 구성\Windows 설정\보안 설정\제한된 그룹입니다.
답변4
단순 CMD 명령: NET LOCALGROUP 관리자 [사용자 이름] /delete