我正在将所有用户的本地管理员权限从他们的机器上移除。当对机器进行映像处理时,我将每个用户都设置为本地管理员,这样就可以避免所有麻烦。好吧,现在,在大量用户感染病毒/恶意软件之后,我决定是时候两害相权取其轻了。
我知道最好的方法是通过受限组 GPO。上周我尝试过这个,当时我的大多数用户都不在,我度过了一个糟糕的早晨,然后我恢复了所有更改。
我为该组所做的是,我指定了管理员(这是否自动假设本地组?如果当我浏览并说本地计算机(即 dc)时,这是否意味着每个计算机的本地组?)然后我选择了(域组)域管理员并将它们放在“此组的成员:”中
如果我错了,请纠正我……但是当我这样做时,所有用户帐户(不是配置文件)都从计算机中“删除”。我假设发生这种情况是因为由于这些用户已被设置为仅本地管理员,当我设置此策略时,它会将他们从本地管理员中删除,并且他们的帐户会从计算机中删除。其中一些用户丢失了与本地配置文件的“链接”,我不得不移动他们的所有内容并重新设置所有内容。我还在整个公司遇到了很多权限问题,例如 RDC 问题和读/写问题。
太棒了!我正在考虑反过来重新做这件事,我需要一些意见。这次,我要把初始组设为高级用户(本地),然后将我的所有用户设置为“此组的成员:”
你们觉得这样做有什么后果吗?这是解决我的问题的正确方法吗?
多谢!
科里
答案1
好的...我知道这个问题已经没有意义了,但我最终花了一些时间并解决了它。
我所做的是将管理员(本地)设置为初始组,然后在成员部分中,我将域\域管理员
然后我将我的用户组 domain\Power Users 作为初始组,并在成员中选择高级用户(本地)
答案2
您不能使用组策略来添加或删除组中的用户。如果本地用户(或域用户)是本地管理员的成员...您需要手动删除他们...或创建一个脚本来为您执行此操作并将其作为登录脚本或类似脚本推出。(只需确保排除“管理员”...或任何需要的管理员用户)
一般来说...绝不给予用户比绝对最低限度更多的权限。他们永远不需要管理权限来执行基本任务。(添加打印机...可以由打印机操作员组完成...安装应用程序和驱动程序应仅保留给管理员。)
如果您拥有第三方软件,并且坚持要求管理员权限才能运行...那么他们要么 a) 撒谎...要么 b) 不是您想要与之做生意的供应商。当然,请以管理员权限安装...但不应该要求运行。
这是人们经常会忘记的规则之一...并且会永远困扰管理员。
听起来你有很多工作要做……
答案3
我与 TheCompWiz 的观点略有不同,在我的领域(教育)中,您经常会看到需要管理员权限才能运行的旧应用程序,并且无法通过组织删除。也就是说,在这些情况下,您通常希望使用 GPO 来限制用户能够执行的操作。它不一定能减少病毒和恶意软件可能造成的危害,但它可以提供一些保护措施(取决于您实施的政策),以防止用户首先制造这些问题。
Novell 的 Zenworks 产品(可以与 Active Directory 或 Novell 自己的 eDirectory 一起运行)具有一项称为“动态本地用户”(DLU)的功能,我认为这与您要执行的操作大致相符。它提供了在计算机上创建新本地用户或管理现有本地用户的策略。使用 DLU,您可以在登录时更改用户所属的组。它还有一些其他功能 - 您可以将本地用户保留在计算机上,也可以在注销时自动将其删除,这为您提供了一些灵活性,因为用户可能使用多台计算机或计算机在网络上来回切换。
话虽如此,您可能无法使用 Zenworks,因此 TheCompWiz 的脚本解决方案似乎是最佳方法。我建议使用以下脚本:1. 当指定用户(而不是“管理员”或“访客”等通用用户)登录计算机时... 2. 检查用户的本地管理组 3. 如果用户存在于组中,则将其删除。4. 将一个小日志文件写入用户目录,其中包含日期戳、用户名和计算机名称,以确认已完成此操作。
您可能确实希望至少重新措辞您的帖子标题以便更清楚。