Компьютерный форум NoWa.cc
Правила Форума
редакция от 29.01.2013
Портал .::2Baksa.Net::. Трекер BRODIM.COM Фильмы HD Онлайн
Вернуться   Компьютерный форум NoWa.cc > Операционные системы > Microsoft Windows > Windows 200x Server

Уважаемые пользователи nowa.cc и 2baksa.net. У нас сложилось тяжелое финансовое положение. Мы работаем для вас вот уже более 12 лет
и теперь вынуждены просить о помощи. Окажите посильную поддержку проектам. Мы очень надеемся на вас. Реквизиты для переводов ниже.
Webmoney Webmoney Z826074280762 Webmoney R087294265364 Webmoney U051530505194 Webmoney E804621616710
PayPal E-mail для связи / to Contact E-mail для связи по вопросу помощи / to Contact : E-mail для связи / to Contact
Кошелек для вашей помощи Yandex 410013204813773
Yandex Спасибо за поддержку!

Российский интернет-шлюз: контроль трафика, DLP, антивирус, fail2ban, прокси-сервер, шифрование данных, https-фильтрация. Сертификат ФСТЭК

загрузка...
Ответ
 
Опции темы Language
Старый 19.01.2009, 22:38   #1
Пользователь
 
Пол:Мужской
Регистрация: 01.09.2006
Сообщений: 52
Репутация: 2
По умолчанию GPO: запретить добавление локальных пользователей на машинах в домене

Есть доменный пользователь с правами локального админа на компе. Как с помощью GPO запретить ему создавать новых локальных пользователей?
Heracl вне форума
 
Ответить с цитированием Вверх


Реклама: ubiquiti unifi ap настройкаопалубка алсина стоимостьматрас серта килиманджаро интерьер плазапремиальное такси москвакомпьютерный стол ср-165 1400


Старый 20.01.2009, 00:01   #2
PLAstic
ViP
 
Пол:Мужской
Регистрация: 18.01.2006
Адрес: MSK RU
Сообщений: 2,837
Репутация: 1164
По умолчанию Re: GPO: запретить добавление локальных пользователей на машинах в домене

А никак. Нечего было делать его локальным админом. Ему в любом случае пофиг, что ты там на уровне домена хочешь сделать. Локальная машина - его царство. Загрузится под локальной УЗ и сделает что надо.
PLAstic вне форума
 
Ответить с цитированием Вверх
Старый 20.01.2009, 15:25   #3
Heracl
Пользователь
 
Пол:Мужской
Регистрация: 01.09.2006
Сообщений: 52
Репутация: 2
По умолчанию Re: GPO: запретить добавление локальных пользователей на машинах в домене

Цитата:
Сообщение от PLAstic Посмотреть сообщение
А никак. Нечего было делать его локальным админом. Ему в любом случае пофиг, что ты там на уровне домена хочешь сделать. Локальная машина - его царство. Загрузится под локальной УЗ и сделает что надо.

В том то и дело, чтобы пользователь не мог создать локального админа и грузиться потом под ним, надо успеть перекрыть эту возможность.
Heracl вне форума
 
Ответить с цитированием Вверх
Старый 21.01.2009, 09:24   #4
PLAstic
ViP
 
Пол:Мужской
Регистрация: 18.01.2006
Адрес: MSK RU
Сообщений: 2,837
Репутация: 1164
По умолчанию Re: GPO: запретить добавление локальных пользователей на машинах в домене

Цитата:
Сообщение от Heracl Посмотреть сообщение
чтобы пользователь не мог

Запускает он AVZ и удаляет все групповые политики, которые его могут органичивать. Это если он не знает, где лежат файлы политик и не удаляет их файлы с диска. А далее творит на машине что угодно. Можно пытаться политиками его зарезать, но если пользователь смышлёный, то сможет легко от них освободиться.
Один вариант - идти на машину и доменную УЗ делать, например, Пользователем. Это может повлечь за собой открытие доступа к определённым веткам реестра, дабы работали некоторые софтины.
PLAstic вне форума
 
Ответить с цитированием Вверх
Старый 21.01.2009, 10:24   #5
AlexeyZh
Новичок
 
Пол:Мужской
Регистрация: 18.12.2007
Сообщений: 17
Репутация: 4
По умолчанию Re: GPO: запретить добавление локальных пользователей на машинах в домене

Примитивно можно сделать следующее пользователь переносится в отдельное OU на него накладывается групповая политика в которой в ветке User Policy / Administrative Template / Microsoft management console / Restricted/Permited Snap-in отключаем оснастку Local Users and Group. После применения политики у пользователя исчезает возможность пользоваться данной оснасткой. Однако если пользователь грамотный, то он может найти способ это ограничение обойти.
AlexeyZh вне форума
 
Ответить с цитированием Вверх
Старый 29.01.2009, 16:56   #6
mow_barabulk
Новичок
 
Пол:Мужской
Регистрация: 22.11.2006
Сообщений: 15
Репутация: 3
По умолчанию Re: GPO: запретить добавление локальных пользователей на машинах в домене

Отними у пользователя права локального администратора и никто ничего не сможет добавить.
А будешь экспериментировать с разными оснастками - сломаешь политику безопасности локального компа, а эта болезнь в Windows'e, по себе знаю, излечивается переустановкой. Не придумывай колесо.
mow_barabulk вне форума
 
Ответить с цитированием Вверх
Эти 2 пользователя(ей) сказали cпасибо за это полезное сообщение:
Старый 09.02.2009, 20:00   #7
Zalex_UA
Неактивный пользователь
 
Регистрация: 05.12.2005
Сообщений: 10
Репутация: 2
По умолчанию Re: GPO: запретить добавление локальных пользователей на машинах в домене

Думаю правильный выход - перенести его в павер узерс и дать ему дополнительные привилегии через груповые политики "Назначение прав пользователя"
Zalex_UA вне форума
 
Ответить с цитированием Вверх
Ответ
 Уважаемые пользователи портала 2BakSa.NeT и форума NoWa.cc !

  Рады Вам сообщить, что у нас открылся Torrent трекер >> BRODIM.COM

  Приглашаем вас принять участие в обмене полезной информацией,

  и ждем от вас поддержки в создании новых раздач.

Опции темы

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Надписи, рисунки на машинах Fizzer Галерея Юмора 1003 19.01.2018 17:42
Организация папок пользователей и обмена в домене PLAstic Windows 200x Server 7 10.03.2009 12:09
Подключение локальных пользователей к сети Интернет через один внешний IP-адрес siraleks Локальные сети и их комплектующие 21 31.01.2008 12:43
о 64 битных машинах ispolin Архив 2 03.01.2006 10:27

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 07:14. Часовой пояс GMT +3.


Rambler's Top100
Copyright ©2004 - 2018 2Baksa.Net

Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc. Перевод: zCarot
Время генерации страницы 0.13754 секунды с 10 запросами