Posso avere un 'amministratore limitato' per sbloccare le workstation?

Lavoro per una scuola e un problema costante è che il personale abbia lasciato l'accesso a workstation e lasciando i loro materiali sensibili esposti ad altri utenti e potenzialmente agli studenti. Ho applicato GP per bloccare le stazioni di lavoro tramite lo screen saver ma poi ho un altro problema – il personale lasciare i PC condivisi e la prossima persona che vuole usare il sistema non può sbloccarlo.

Ho altri assistenti tecnici di tecnologia oltre agli amministratori di Sys che non hanno e non dovrebbero avere i diritti amministrativi completi sul dominio. C'è un modo per (1) aggiungere questi utenti al gruppo Administrators ma in qualche modo limitarli da altri privilegi amministrativi o (2) dare in qualche modo ai loro account utente l'authorization per sbloccare le stazioni di lavoro.

  • Come forzare i driver di printingnte su un server per sostituire i driver sul client?
  • LLMNR Disabilitare eventuali problemi?
  • Windows Service >> 'Accedi come' non carica il profilo dell'utente?
  • Attivazione dell'NLA in Windows Server 2003 RDP Client
  • Come trovare un path in cui è stata impostata un'applicazione?
  • Impedire il riavvio del server dopo gli aggiornamenti di Windows
  • Il problema come si può immaginare è rettificato dal personale assistente tecnico attualmente da resettare duro il PC – non è l'ideale.

    6 Solutions collect form web for “Posso avere un 'amministratore limitato' per sbloccare le workstation?”

    Come già spiegato, non è necessario un amministratore di dominio per "sbloccare" un computer, l'utente deve solo essere amministratore locale.

    La soluzione migliore penso qui è quella di uscire automaticamente gli utenti che sono inattivi per un certo periodo.
    EDIT:

    Non è un GPO diretto e richiede un po 'di un kludge con la modifica dello screensaver delle windows. Ecco cosa fai:

    1. Scaricare gli strumenti del Resource Kit di Windows Server 2003
    2. Copiare il Winexit.scr dal kit di risorsa nella directory% systemroot% \ system32 in each workstation
    3. Creare un object Criteri di gruppo con le seguenti impostazioni: alt text http://img34.yfrog.com/img34/6015/mwsnap53020091124100617.jpg

    – per l'uso eseguibile di nome screensaver: winexit.scr
    – per il time-out dello screen saver specificare come registrare il tempo di inattività prima di eseguire la disconnessione. Questo è in pochi secondi.

    L'aggiunta degli account Domain per gli altri assistenti tecnici al gruppo Admins locale su each PC dovrebbe essere tutto ciò che è necessario.

    Attenzione a sbloccare, però, in quanto obbligherà l'accesso all'account per accedere, chiudere tutti i propri file e potenzialmente perdere il lavoro non salvato. L'istruzione degli utenti è veramente l'unico modo.

    Altri thread su questo argomento sembrano indicare che avnetworking bisogno di una soluzione di terze parti: Sblocca amministratore sembra utile e ha una prova gratuita, anche se non l'ho mai provato.

    Diverse persone qui hanno menzionato una impostazione "timeout" inattivo che può essere applicata tramite GPO. Per chiarire, non esiste alcuna impostazione "timeout inattivo" per gli utenti connessi alle workstation, che sono a conoscenza. L'impostazione a cui si riferisce è rilevante solo per le sessioni di Servizi terminal.

    Se sono fuori base, mi piacerebbe qualcuno gentilmente mi indicare l'impostazione degli oggetti Criteri di gruppo o utente che è applicabile? Grazie.

    Vorrei andare con l'amministratore di sblock, come suggeriscono altri utenti, o fare quanto segue:

    • Creare un gruppo Active Directory di un amministratore di workstation .
    • Aggiungere i tecnici al gruppo Workstation Administrators.
    • Aggiungere il gruppo Administrators Workstation al gruppo Administrators locale sulla workstation.

    Quando un PC è bloccato, dovrebbero call il supporto tecnico (o l'altro utente) per sbloccarlo. In alternativa, fare quanto sopra installare uno strumento di controllo remoto che funge da servizio e che i tecnici accedano al PC in remoto e sbloccano.

    È ansible utilizzare un object Criteri di gruppo (utilizzando Gruppi con restrizioni o uno script di accesso e il command "NET LOCALGROUP") per aggiungere un utente / gruppo di dominio al gruppo Administrators locale nei computer di dominio.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.