Quero desabilitar as permissões dos administradores locais nas máquinas do meu domínio, isso é possível?, e colocar direitos de administração apenas para os Administradores do Domínio. E quero fazer isso com Políticas de Grupo.
Quero principalmente desabilitar a permissão de instalação/desinstalação de programas para os usuários, embora eles sejam administradores locais de suas máquinas.
Responder1
Retire os usuários dos grupos de "administradores locais".
O processo manual seria ir ao computador, iniciar> rc meu computador e depois "Gerenciar Computador". Selecione "Usuários e grupos locais", "grupos" e clique duas vezes em administradores. Remova os usuários desse grupo.
Provavelmente é melhor não retirar os administradores de domínio deste grupo e, se você desabilitar o grupo administrador local de fazer qualquer coisa, poderá ter outros problemas.
Você pode descobrir que muitas coisas deixarão de funcionar para os usuários, então os usuários avançados podem ser o melhor lugar para eles irem se tiverem feito algo estranho e maravilhoso.
Se você quisesse fazer isso por política de grupo, acho que estaria pensando em criar um script e depois executá-lo como um script de inicialização.
Seu script usaria então "net localgroup administradores Naughtyusers /delete"
Responder2
Como disse o @Tubs, não tente prejudicar o grupo de administradores locais. Apenas não coloque seus usuários finais nesse grupo. Os usuários avançados lhes darão permissão para fazer praticamente tudo o que um administrador pode fazer, mas não alterarão a configuração de todo o sistema. Embora eles tenham direitos de modificação no registro, dado o tempo e um arquivo reg, não vejo nenhuma configuração que eles não possam alterar.
A política de grupo pode controlar diretamente a associação de grupos locais. Não tenho a ferramenta de administração disponível no momento, mas é algo como "grupos restritos". O que você especificar aqui se tornará a associação completa do grupo, você não pode instruir a política de grupo para fazer alterações na associação de um grupo local, apenas substituir completamente a associação pela lista que você especificar, portanto, lembre-se de incluir administradores de domínio no grupo de administradores .
Responder3
Não tenho representante suficiente para comentar @pipTheGeek, mas o caminho no GP é Configuração do Computador\Configurações do Windows\Configurações de Segurança\Grupos Restritos.
Responder4
Comando CMD simples: administradores NET LOCALGROUP [UserName] /delete