Локальный администратор через GPO

8

У меня есть Windows 2008R2 DC (только установка), у нас уже было около 25 профессиональных / конечных клиентов Windows 7, которые мы сейчас собираемся присоединить к нашему новому домену / dc. Пользователи уже использовали машины и были локальными администраторами на этой машине.

Я хочу развернуть ПОЛЬЗОВАТЕЛЯ через объект групповой политики, который может быть создан на каждом локальном компьютере с Windows 7 и иметь права локального администратора или пользователя домена, который имеет права локального администратора на каждом ПК в домене (Windows XP, 7).

Буду благодарен, если кто-то может помочь с этим - я попытался самостоятельно создать пользователя, но он не будет создан, я использовал Computer Settingsгруппу в редакторе объектов групповой политики, чтобы создать пользователя.

Спасибо за чтение - с нетерпением ждем ваших указаний Rihatum

windows-server-2008-r2 group-policy rihatum
источник

Ответы:

9

Моя первая рекомендация заключается в том, чтобы вы отняли эти права администратора у пользователей. В конце концов, это сделает вашу жизнь намного проще. НАМНОГО ЛЕГКО! Пользователи склонны по-настоящему испортить свои компьютеры, когда они администраторы ... Вирусы, шпионские программы, панели инструментов, бесплатные программы, изменить эти настройки, удалить этот файл ... просто не разбирайтесь с этим.

При этом, если вам действительно нужно предоставить пользователям права администратора, вы можете легко создать пользователя домена, который имеет права локального администратора на каждом ПК. Начните с создания пользователя в AD. Затем создайте групповую политику и примените ее ко всем рабочим станциям. В этой групповой политике перейдите к следующему:

Конфигурация компьютера -> Политики -> Настройки Windows -> Настройки безопасности -> Группы с ограниченным доступом

Добавьте новую группу с ограниченным доступом и убедитесь, что администраторы домена и только что созданный вами пользователь являются ее членами. Это не позволит вам добавить любого другого локального администратора к этим машинам, но просто выполнит то, что вы хотите сделать.

Джейсон Берг
источник
Привет Джейсон, спасибо за ваш ответ, есть ли способ удалить каких-либо существующих локальных администраторов на клиентских рабочих станциях через GPO? затем применить мой локальный администратор gpo на клиентских машинах? Кроме того, если, например, dc вышел из строя, сможет ли этот локальный пользователь (который мы создадим через GPO) по-прежнему иметь доступ к машине локально? Спасибо
rihatum
4

В других ответах это хорошо освещалось, но я просто упомяну, что предпочтения на стороне клиента групповой политики - еще один хороший вариант для управления локальными пользователями и группами, с немного большей гибкостью (но меньшей совместимостью с клиентами), чем с ограниченными группами.

Шейн Мэдден
источник
1
Примечание: он должен был быть установлен как часть регулярных обновлений, но клиенты XP нуждаются в патче, позволяющем использовать настройки на стороне клиента.
Голокриптик
Привет @Holocryptic, что означает NB ..?
маргаритка
1
@ warl0ck en.wikipedia.org/wiki/Nota_bene
Голокриптик
3

http://www.windowsecurity.com/articles/using-restricted-groups.html

Принципы безопасности должны быть использованы. Создайте группу администраторов рабочего стола, добавьте в нее пользователей, а затем добавьте ее в группы с ограниченным доступом.

Дан
источник