Posso ter um 'Administrador limitado' para desbloquear estações de trabalho?

5

Eu trabalho para uma escola e um problema constante é a equipe deixar-se conectada nas estações de trabalho e deixar seus materiais confidenciais expostos a outros usuários e potencialmente estudantes. Eu apliquei o GP para bloquear as estações de trabalho através do protetor de tela, mas depois tive outro problema - a equipe deixou os PCs compartilhados e a próxima pessoa que quer usar o sistema não pode desbloqueá-lo.

Tenho outra equipe de assistentes técnicos, além dos administradores do sistema, que não têm e não devem ter direitos totais de administrador no domínio. Existe uma maneira de (1) adicionar esses usuários ao grupo Administradores, mas de alguma forma limitá-los de outros privilégios administrativos ou (2) de alguma forma dar às suas contas de usuário a permissão para desbloquear estações de trabalho.

O problema que você pode imaginar é retificado pela equipe de assistentes tecnológicos, atualmente, com a reinicialização do PC - o que não é o ideal.

    
por cottsak 23.11.2009 / 07:23

6 respostas

4

Como já explicamos, você não precisa de um administrador de domínio para 'desbloquear' um computador, o usuário só precisa ser um administrador local.

A melhor solução que eu acho aqui é desconectar automaticamente os usuários que estão ociosos por um determinado período.
EDITAR:

Não é um GPO simples e requer um pouco de kludge com a modificação do protetor de tela do Windows. Veja o que você faz:

  1. Faça o download do Windows Server 2003 Ferramentas do Kit de Recursos
  2. Copie o Winexit.scr fora do kit de recursos para o diretório% systemroot% \ system32 ativado cada estação de trabalho
  3. Crie um GPO de usuário com as seguintes configurações: texto alternativo http://img34.yfrog.com/img34/6015/mwsnap53020091124100617.jpg
- for screensaver executable name use:winexit.scr
- for screen saver time-out specify how log the idle time should be before logging out. This is in seconds.
    
por 23.11.2009 / 08:23
3

Adicionar as contas de domínio para seus outros assistentes técnicos ao grupo de administradores locais em cada PC deve ser tudo o que é necessário.

Cuidado com o desbloqueio, pois isso forçará o logoff da conta conectada, fechará todos os arquivos e, potencialmente, perderá o trabalho não salvo. A educação do usuário é realmente o único caminho.

    
por 23.11.2009 / 11:13
2

Outros tópicos sobre este tópico parecem indicar que você precisará de uma solução de terceiros: Desbloquear o Administrador útil e tem um teste gratuito, embora eu nunca tenha tentado.

    
por 23.11.2009 / 08:25
2

Várias pessoas mencionaram uma configuração de "tempo limite ocioso" que pode ser aplicada via GPO. Para esclarecer, não há nenhuma configuração de "tempo limite ocioso" para usuários conectados às estações de trabalho, que eu saiba. A configuração que está sendo consultada é relevante apenas para sessões de serviços de terminal.

Se eu estiver fora da base, alguém gentilmente me indicaria a configuração do GPO ou da conta de usuário aplicável? Obrigado.

    
por 23.11.2009 / 15:48
2

Eu gostaria de usar o Unlock Administrator, como os outros sugeriram, ou faça o seguinte:

  • Crie um grupo Administradores da estação de trabalho do Active Directory.
  • Adicione seus técnicos ao grupo Administradores da estação de trabalho.
  • Adicione o grupo Administradores da estação de trabalho ao grupo Administradores local na estação de trabalho.

Quando um PC está bloqueado, eles precisam chamar o suporte técnico (ou o outro usuário) para desbloqueá-lo. Como alternativa, faça o procedimento acima para instalar uma ferramenta de controle remoto que seja executada como um serviço e faça com que seus técnicos façam logon no PC remotamente e o desbloqueiem.

    
por 24.11.2009 / 00:24
1

Você pode usar um GPO (usando Restricted Groups ou um script de inicialização e o comando "NET LOCALGROUP") para adicionar um usuário / grupo de domínio ao grupo Administradores local em computadores de domínio.

    
por 23.11.2009 / 08:03