GPO: запретить добавление локальных пользователей на машинах в домене

[Heracl]

Есть доменный пользователь с правами локального админа на компе. Как с помощью GPO запретить ему создавать новых локальных пользователей?

[PLAstic]

А никак. Нечего было делать его локальным админом. Ему в любом случае пофиг, что ты там на уровне домена хочешь сделать. Локальная машина - его царство. Загрузится под локальной УЗ и сделает что надо.

[Heracl]

Цитата: Сообщение от PLAstic А никак. Нечего было делать его локальным админом. Ему в любом случае пофиг, что ты там на уровне домена хочешь сделать. Локальная машина - его царство. Загрузится под локальной УЗ и сделает что надо.

В том то и дело, чтобы пользователь не мог создать локального админа и грузиться потом под ним, надо успеть перекрыть эту возможность.

[PLAstic]

Цитата: Сообщение от Heracl чтобы пользователь не мог

Запускает он AVZ и удаляет все групповые политики, которые его могут органичивать. Это если он не знает, где лежат файлы политик и не удаляет их файлы с диска. А далее творит на машине что угодно. Можно пытаться политиками его зарезать, но если пользователь смышлёный, то сможет легко от них освободиться.
Один вариант - идти на машину и доменную УЗ делать, например, Пользователем. Это может повлечь за собой открытие доступа к определённым веткам реестра, дабы работали некоторые софтины.

[AlexeyZh]

Примитивно можно сделать следующее пользователь переносится в отдельное OU на него накладывается групповая политика в которой в ветке User Policy / Administrative Template / Microsoft management console / Restricted/Permited Snap-in отключаем оснастку Local Users and Group. После применения политики у пользователя исчезает возможность пользоваться данной оснасткой. Однако если пользователь грамотный, то он может найти способ это ограничение обойти.

[mow_barabulk]

Отними у пользователя права локального администратора и никто ничего не сможет добавить.
А будешь экспериментировать с разными оснастками - сломаешь политику безопасности локального компа, а эта болезнь в Windows'e, по себе знаю, излечивается переустановкой. Не придумывай колесо.

[Zalex_UA]

Думаю правильный выход - перенести его в павер узерс и дать ему дополнительные привилегии через груповые политики "Назначение прав пользователя"