处理在系统域成员资格之前创建的帐户、管理员和用户的最佳做法是什么?
- 他们会被归类到 OU 下吗?他们可以与即将创建的域用户合并吗?
- 所有成员设备上的本地管理员用户是否可以标准化为相同的用户名/密码等?
- 在全新设备上安装操作系统时必须创建的管理员帐户的最佳做法是什么?
- 本地管理员可以在多大程度上使用他们的管理员权限来执行 GPO 限制的操作?(例如,如果我限制所有设备上的软件安装,那么以本地管理员身份运行时可以安装它们吗?)
答案1
我假设您正在谈论客户端工作站上的帐户。
作为本地帐户,它们不会进入任何 AD OU。您无法合并它们,但可以使用以下工具Forensit 用户配置文件向导将所有内容从本地帐户转移到域帐户。
您无法标准化现有的管理员,但您可以为所有客户端创建新的本地管理员帐户并通过 GPO 禁用内置管理员:http://www.dannyeckes.com/create-local-admin-group-policy-gpo/
对于新安装的电脑,我们为所有机器设置相同的内置管理员密码(非常复杂)。
本地管理员仍然是管理员。您可以尝试启用禁用 Windows 安装程序和禁止用户安装在计算机配置\管理模板\Windows 安装程序 GPO 下,但它只对使用 Windows 安装程序的项目起作用。
答案2
他们会被归类到 OU 下吗?他们可以与即将创建的域用户合并吗?
本地帐户永远不会返回 AD,事实上,当以本地用户身份登录时,您将无法访问与 GPO 用户端相关的任何内容。计算机端 GPO 设置仍将强制执行。
所有成员设备上的本地管理员用户是否可以标准化为相同的用户名/密码等?
过去几年,这种情况有所改变,以前你可以通过 GPO 相对轻松地强制执行管理员密码,但自从更新以来MS14-025. 如果没有第三方垫片,您将无法再强制执行密码。
在全新设备上安装操作系统时必须创建的管理员帐户的最佳做法是什么?
在我们的环境中,我们设置了一个复杂的管理员密码,主要是为了技术人员解决现场问题。有些人完全禁用管理员帐户并依赖 AD 限制组。
本地管理员可以在多大程度上使用他们的管理员权限来执行 GPO 限制的操作?(例如,如果我限制所有设备上的软件安装,那么以本地管理员身份运行时可以安装它们吗?)
一旦你给某人一个管理员账户,他们就无所不能了(取决于他们的技能水平)。作为管理员,即使应用了 GPO 来阻止某些事情,但如果这个人真的想这样做,他们身边总会有办法。请参阅为什么你不应该以管理员身份运行。