ドメインのマシンでローカル管理者の権限を無効にしたいのですが、これは可能ですか?そして、ドメイン管理者にのみ管理権限を与えます。そして、私はそれをグループポリシーで実行したいと考えています。
ユーザーのマシンのローカル管理者ですが、主にユーザーに対してプログラムのインストール/アンインストールの許可を無効にしたいと思います。
ユーザーを「ローカル管理者」グループから除外します。
手動のプロセスは、コンピューターに移動し、[スタート]> [コンピューターをrc]、[コンピューターの管理]の順にクリックします。 「ローカルユーザーとグループ」、「グループ」を選択し、管理者をダブルクリックします。そのグループからユーザーを削除します。
ただし、Domain Adminsをこのグループから除外しないことをお勧めします。ローカルのadministartorグループで何もしないようにすると、他の問題が発生する可能性があります。
ただし、ユーザーにとっては多くのことが機能しなくなる可能性があるため、奇妙で素晴らしいことをした場合は、Power Usersが最適な場所になる可能性があります。
これをグループポリシーで実行したい場合は、何かをスクリプト化し、それを起動スクリプトとして実行することを検討していると思います。
スクリプトは、「net localgroup Administrators naughtyusers/delete」を使用します
@Tubsが言ったように、ローカル管理者グループを不自由にしないでください。エンドユーザーをそのグループに入れないでください。パワーユーザーは、管理者が実行できるほとんどすべてのことを実行する許可を与えますが、システム全体の構成を変更することはできません。彼らはレジストリへの変更権限を持っているので、与えられた時間とregファイルがありますが、変更できない設定があることはわかりません。
グループポリシーは、ローカルグループのメンバーシップを直接制御できます。現在、利用可能な管理ツールはありませんが、「制限されたグループ」のようなものです。ここで指定したものがグループの完全なメンバーシップになります。ローカルグループのメンバーシップを変更するようにグループポリシーに指示することはできません。メンバーシップを指定したリストで完全に置き換えるだけなので、管理者グループにドメイン管理者を含めることを忘れないでください。 。
@pipTheGeekにコメントするのに十分な担当者がいませんが、GPのパスはComputer Configuration\Windows Settings\Security Settings\Restricted Groupsです。
ローカル管理者がソフトウェアをインストールする権利を拒否する簡単な方法はありません。 C:\ Program Filesやさまざまなレジストリキーのアクセス許可を変更することもできますが、もちろんローカル管理者であるため、ユーザーはアクセス許可を元に戻すことができます。
これを行う唯一の良い方法は、ユーザーに必要な権限をユーザーに与える新しいグループを作成し、ユーザーをローカルの管理者グループから除外することです。
または、何らかの監査を使用して、インストールしてはいけないものをインストールしたかどうかを特定します。
これは、スパイウェアが蔓延していたときに大きな問題でしたが、最新のAVのほとんどは、スパイウェアのインストールを阻止するのに非常に優れています。
JR
Win2008グループポリシー拡張機能を使用している場合は、制限付きグループポリシーのように完全に上書きするのではなく、Local Adminsグループを変更する方法があります。
この記事をご覧ください: http://www.windowsecurity.com/articles/Securing-Local-Administrators-Group-Every-Desktop.html
単純なCMDコマンド:NET LOCALGROUP管理者[ユーザー名]/delete