Come posso rimuovere le autorizzazioni amministratore locali?

Desidero distriggersre le autorizzazioni degli amministratori locali nelle macchine del mio dominio, è questo ansible ?, e solo mettere i diritti di amministrazione per gli amministratori di dominio. E voglio farlo con le politiche del gruppo.

Principalmente voglio distriggersre l'authorization dei programmi di installazione / disinstallazione agli utenti, anche se sono amministratori locali delle loro macchine.

  • È ansible provocare perdita artificiale di pacchetti di networking o latenza?
  • Imansible registrare nuovo Data Warehouse Service Manager di System Center dopo la migrazione del database di Service Manager
  • Come risolvere l'errore di backup dello stato di sistema e lo stato NSSS VSS ?
  • Come abilitare i codici di escape ANSI in cmd di Windows?
  • Windows Server - "Errore disponibile per l'archiviazione insufficiente"
  • Imansible aggiornare Windows 10 in modo programmato
  • WipeDrive Utility?
  • Cancellare il cestino per tutti gli utenti in Windows Server 2008 R2
  • 6 Solutions collect form web for “Come posso rimuovere le autorizzazioni amministratore locali?”

    Prendi gli utenti dai gruppi "amministratori locali".

    Il process manuale sarebbe quello di andare al computer, avviare> rc il mio computer e poi "Gestire il computer". Selezionare "Utente e gruppi locali", "gruppi" e quindi fare doppio clic sugli amministratori. Rimuove gli utenti di quel gruppo.

    Probabilmente è meglio non prendere Dominant Admins da questo gruppo e, se distriggerste il gruppo locale administartor dal fare qualsiasi cosa, potresti avere altri problemi.

    Potresti scoprire che molte cose smetteranno di lavorare per gli utenti, per cui gli utenti potenziali potrebbero essere il posto migliore per loro se hanno fatto qualcosa di strano e meraviglioso.

    Se voleste farlo per le politiche di gruppo, penso che tu stia guardando qualcosa di script, poi averlo eseguito come uno script di avvio.

    Il tuo script utilizzerebbe quindi "gli amministratori locali netgroup naughtyusers / delete"

    Come ha detto @Tubs, non provare a paralizzare il gruppo amministratori locali. Basta non mettere gli utenti finali in quel gruppo. Gli utenti di potenza consentiranno loro di fare praticamente tutto ciò che un amministratore può fare, ma non cambiare la configuration a livello di sistema. Anche se hanno modificato i diritti al Registro di sistema in modo dato tempo e un file reg, non vedo che ci siano impostazioni che non potrebbero cambiare.

    La politica del gruppo può controllare direttamente l'appartenenza a gruppi locali. Non ho attualmente disponibile lo strumento di amministrazione, ma è qualcosa come "gruppi limitati". Quello che specifichi qui diventerà l'appartenenza completa del gruppo, non è ansible inserire la politica del gruppo per apportre modifiche all'appartenenza a un gruppo locale, solo sostituire completamente l'appartenenza con l'elenco specificato, pertanto ricorda di includere gli amministratori di dominio nel gruppo di amministratori .

    Non ho abbastanza rappresentante per commentare @pipTheGeek, ma il path in GP è Computer Configuration \ Windows Settings \ Security Settings \ Groups Restricted.

    Non esiste un modo semplice per negare agli amministratori locali il diritto di installare il software. È ansible modificare le autorizzazioni nei file C: \ Programmi e su varie chiavi del Registro di sistema, ma ovviamente sono amministratori locali che gli utenti hanno i diritti di modificare le autorizzazioni.

    L'unico modo migliore per farlo è creare un nuovo gruppo che dà agli utenti i diritti necessari e conservi gli utenti dal gruppo amministratori locali.

    In alternativa, utilizzare una qualche forma di audit per individuare quando hanno installato qualcosa che non dovrebbero.

    Questo è stato un grosso problema quando lo spyware è stato così prevalente, ma i più moderni AV sono abbastanza buoni per arrestare le installazioni di spyware.

    JR

    Comando CMD semplice: amministratori NET LOCALGROUP [UserName] / delete

    Se si utilizzano le estensioni dei criteri di gruppo di Win2008, è ansible modificare il gruppo di amministrazioni locali piuttosto che sovrascrivere completamente come viene fatto la politica dei gruppi restrizioni.

    Date un'occhiata a questo articolo: http://www.windowsecurity.com/articles/Securing-Local-Administrators-Group-Every-Desktop.html

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.