Come posso rimuovere le autorizzazioni amministratore locali?

Desidero distriggersre le autorizzazioni degli amministratori locali nelle macchine del mio dominio, è questo ansible ?, e solo mettere i diritti di amministrazione per gli amministratori di dominio. E voglio farlo con le politiche del gruppo.

Principalmente voglio distriggersre l'authorization dei programmi di installazione / disinstallazione agli utenti, anche se sono amministratori locali delle loro macchine.

  • "CREATOR OWNER" Il gruppo NTFS dispone sempre di autorizzazioni speciali nelle windows
  • Il nuovo controller di dominio con DNS in Windows dispone di set up degli inoltri
  • Utilizzo di ICACLS per impostare le autorizzazioni nelle directory utente
  • Locale-ignara% DATE% e% TIME% nei file batch?
  • Abilitare il supporto REST (GET, POST, PUT, DELETE) in iis 6
  • Il server L2TP consente le connessioni tramite firewall per iPhone / iPad, ma non le windows
  • 6 Solutions collect form web for “Come posso rimuovere le autorizzazioni amministratore locali?”

    Prendi gli utenti dai gruppi "amministratori locali".

    Il process manuale sarebbe quello di andare al computer, avviare> rc il mio computer e poi "Gestire il computer". Selezionare "Utente e gruppi locali", "gruppi" e quindi fare doppio clic sugli amministratori. Rimuove gli utenti di quel gruppo.

    Probabilmente è meglio non prendere Dominant Admins da questo gruppo e, se distriggerste il gruppo locale administartor dal fare qualsiasi cosa, potresti avere altri problemi.

    Potresti scoprire che molte cose smetteranno di lavorare per gli utenti, per cui gli utenti potenziali potrebbero essere il posto migliore per loro se hanno fatto qualcosa di strano e meraviglioso.

    Se voleste farlo per le politiche di gruppo, penso che tu stia guardando qualcosa di script, poi averlo eseguito come uno script di avvio.

    Il tuo script utilizzerebbe quindi "gli amministratori locali netgroup naughtyusers / delete"

    Come ha detto @Tubs, non provare a paralizzare il gruppo amministratori locali. Basta non mettere gli utenti finali in quel gruppo. Gli utenti di potenza consentiranno loro di fare praticamente tutto ciò che un amministratore può fare, ma non cambiare la configuration a livello di sistema. Anche se hanno modificato i diritti al Registro di sistema in modo dato tempo e un file reg, non vedo che ci siano impostazioni che non potrebbero cambiare.

    La politica del gruppo può controllare direttamente l'appartenenza a gruppi locali. Non ho attualmente disponibile lo strumento di amministrazione, ma è qualcosa come "gruppi limitati". Quello che specifichi qui diventerà l'appartenenza completa del gruppo, non è ansible inserire la politica del gruppo per apportre modifiche all'appartenenza a un gruppo locale, solo sostituire completamente l'appartenenza con l'elenco specificato, pertanto ricorda di includere gli amministratori di dominio nel gruppo di amministratori .

    Non ho abbastanza rappresentante per commentare @pipTheGeek, ma il path in GP è Computer Configuration \ Windows Settings \ Security Settings \ Groups Restricted.

    Non esiste un modo semplice per negare agli amministratori locali il diritto di installare il software. È ansible modificare le autorizzazioni nei file C: \ Programmi e su varie chiavi del Registro di sistema, ma ovviamente sono amministratori locali che gli utenti hanno i diritti di modificare le autorizzazioni.

    L'unico modo migliore per farlo è creare un nuovo gruppo che dà agli utenti i diritti necessari e conservi gli utenti dal gruppo amministratori locali.

    In alternativa, utilizzare una qualche forma di audit per individuare quando hanno installato qualcosa che non dovrebbero.

    Questo è stato un grosso problema quando lo spyware è stato così prevalente, ma i più moderni AV sono abbastanza buoni per arrestare le installazioni di spyware.

    JR

    Comando CMD semplice: amministratori NET LOCALGROUP [UserName] / delete

    Se si utilizzano le estensioni dei criteri di gruppo di Win2008, è ansible modificare il gruppo di amministrazioni locali piuttosto che sovrascrivere completamente come viene fatto la politica dei gruppi restrizioni.

    Date un'occhiata a questo articolo: http://www.windowsecurity.com/articles/Securing-Local-Administrators-Group-Every-Desktop.html

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.