Я хочу отключить разрешения локальных администраторов на машинах моего домена, возможно ли это?, и предоставить права администратора только администраторам домена. И я хочу сделать это с помощью групповых политик.
В основном я хочу отключить разрешение на установку/удаление программ для пользователей, хотя они являются локальными администраторами своих машин.
решение1
Удалите пользователей из групп «локальных администраторов».
Ручной процесс будет заключаться в следующем: зайти на компьютер, Пуск > Мой компьютер и затем "Управление компьютером". Выберите "Локальные пользователи и группы", "Группы", затем дважды щелкните администраторов. Удалить пользователей из этой группы.
Однако, вероятно, лучше не исключать администраторов домена из этой группы, а если вы запретите группе локальных администраторов выполнять какие-либо действия, у вас могут возникнуть другие проблемы.
Однако вы можете обнаружить, что у пользователей многое перестанет работать, поэтому, если они сделали что-то странное и замечательное, лучшим местом для них может стать статус «Опытные пользователи».
Если бы вы хотели сделать это с помощью групповой политики, я думаю, вам пришлось бы написать какой-нибудь скрипт, а затем запустить его как скрипт запуска.
Ваш скрипт затем будет использовать «net localgroup administrators naughtyusers /delete»
решение2
Как сказал @Tubs, не пытайтесь парализовать локальную группу администраторов. Просто не помещайте своих конечных пользователей в эту группу. Power Users дадут им разрешение делать практически все, что может делать администратор, но не изменять общесистемную конфигурацию. Хотя у них есть права на изменение реестра, так что при наличии времени и reg-файла я не вижу ни одной настройки, которую они не могли бы изменить.
Групповая политика может напрямую управлять членством в локальных группах. У меня сейчас нет инструмента администрирования, но это что-то вроде "ограниченных групп". То, что вы здесь укажете, станет полным членством в группе, вы не можете указать групповой политике вносить изменения в членство в локальной группе, только полностью заменить членство указанным вами списком, поэтому не забудьте включить администраторов домена в группу администраторов.
решение3
У меня недостаточно репутации, чтобы прокомментировать @pipTheGeek, но путь в GP — Конфигурация компьютера\Параметры Windows\Параметры безопасности\Ограниченные группы.
решение4
Простая команда CMD: NET LOCALGROUP administrators [Имя пользователя] /delete