Como devo remover usuários do grupo Administradores sem o Active Directory?

Question

Como devo remover usuários do grupo Administradores sem o Active Directory?

#1 resposta do (12 votos)
#2 resposta do (7 votos)

6

Contexto: Sou um novo administrador de sistemas júnior e herdei um pequeno grupo de trabalho de cerca de 12 máquinas windows, servidores de arquivos de produção e backup e um servidor sql. Todas as contas de usuário no servidor de arquivos são membros do grupo Administradores. Eu percebo que isso cria uma vulnerabilidade. Além disso, a brass gostaria de ter certos diretórios no servidor de arquivos fora dos limites para os usuários em geral.

Como posso remover meus usuários do grupo Administradores e colocá-los em duas camadas de contas regulares e evitar transtornos, tempo de inatividade da produção, etc.?

Sou especialista em automação, se possível, por isso não tenho medo de criar scripts em arquivos .bat ou powershell, embora meu powershell esteja enferrujado e meu script .bat seja hacky.

windows workgroup windows-server-2003

por lutze 11.02.2014 / 22:25

2 respostas

7

Você pode obter a lista de quais usuários estão atualmente no grupo Administradores:

net localgroup administrators > userlist.txt

Você pode dividir os usuários dessa saída em listas de camada 1 e de nível 2 e percorrer as listas.

$tier1file="c:\path\to\tier1users.txt" 
$tier2file="c:\path\to\tier2users.txt"

foreach ($user in get-content $tier1file)
{
    net localgroup administrators $user /del
    net localgroup tier1 $user /add
}

foreach ($user in get-content $tier2file)
{
    net localgroup administrators $user /del
    net localgroup tier2 $user /add
}

Ou algo parecido.

Se todas as máquinas estiverem configuradas de forma idêntica, você provavelmente poderia ter mais experiência do que isso, mas as máquinas sem AD frequentemente não são idênticas.

por 11.02.2014 / 22:42

Tags windows workgroup windows-server-2003

Como posso excluir um pacote do yum-cron, mas não do manual “yum upgrade”? w1228 romb batt 24h

score 12 · Accepted Answer

Você deve configurar um domínio.

Sério. Eu não gostaria de gerenciar 3 computadores Windows sem um domínio (Active Directory), e muito menos doze.
Se o bronze quiser limitar os níveis de acesso em determinados diretórios, a única maneira de fazê-lo de maneira gerenciável é com o Active Directory, mesmo para "apenas 12" máquinas / usuários.
Melhor opção para você, pessoalmente, também. "Gerenciado um monte de computadores do grupo de trabalho" é uma linha muito porcaria no currículo. "Criado, configurado e gerenciado um novo domínio do Active Directory do Windows para [empresa]" é um item muito bom no currículo, pelo contrário.

Supondo que você não pode configurar um domínio (e Server 2003), minha preferência seria para psexec, que faz parte do SysInternals Suite para fazer as conexões remotas e, em seguida, os comandos NET USER e NET GROUP para fazer a adição real. Isso permitirá que você faça as alterações sem tirar as pessoas dos computadores, como abaixo.

Faça o download da suíte SysInternals.
Abra uma linha de comando (cmd.exe)
Conecte-se ao computador no qual você deseja fazer as alterações
- psexec \thecomputeryouwanttomakechangeson\ cmd
Execute o comando NET USER ou NET GROUP desejado.
- NET LOCALGROUP Administrators someuser /ADD
- NET LOCALGROUP Administrators someotheruser /DEL
- O link fornecido tem exemplos melhores e sintaxe completa , lembre-se de que você está usando LOCALGROUP e LOCALUSER em neste caso ..