Como posso remover permissões de administrador local?

Navegue suas respostas
5

Desejo desabilitar as permissões de administradores locais nas máquinas do meu domínio, isso é possível ?, e só coloco os direitos de administração nos administradores de domínio. E eu quero fazer isso com políticas de grupo.

Principalmente, quero desativar a permissão de instalar / desinstalar programas para os usuários, embora eles sejam administradores locais de suas máquinas.

    
por xabim 09.07.2009 / 12:15

6 respostas

4

Retire os usuários dos grupos "administradores locais".

O processo manual seria ir para o computador, inicie > rc meu computador e, em seguida, "Gerenciar computador". Selecione "Usuários e grupos locais", "grupos" e clique duas vezes em administradores. Remova os usuários desse grupo.

Provavelmente, é melhor não tirar os administradores do domínio desse grupo, e se você desativar o grupo administartor local de fazer qualquer coisa, você poderá ter outros problemas.

Você pode descobrir que muitas coisas vão parar de funcionar para os usuários, por isso os usuários avançados podem ser o melhor lugar para eles se fizerem algo estranho e maravilhoso.

Se você quisesse fazer isso pela política de grupo, acho que você estaria procurando scripts, e depois executá-los como um script de inicialização.

Seu script, em seguida, usaria "administradores de grupo de locais da rede, naughtyusers / delete"

    
por 09.07.2009 / 12:57
3

Como disse @Tubs, não tente enfraquecer o grupo de administradores locais. Apenas não coloque seus usuários finais nesse grupo. Usuários avançados darão a eles permissão para fazer praticamente tudo que um administrador pode fazer, mas não alterar a configuração geral do sistema. Embora eles tenham direitos de modificação no registro, de acordo com o tempo e com um arquivo reg, não consigo ver que haja qualquer configuração que eles não possam alterar.

A política de grupo pode controlar diretamente a associação de grupos locais. Eu não tenho a ferramenta de administração disponível no momento, mas é algo como "grupos restritos". O que você especificar aqui se tornará a associação completa do grupo, você não poderá instruir a política de grupo a fazer alterações na associação de um grupo local e substituir completamente a associação pela lista especificada. Lembre-se de incluir administradores de domínio no grupo de administradores .

    
por 09.07.2009 / 14:13
1

Não tenho representante suficiente para comentar em @pipTheGeek, mas o caminho no GP é Configuração do Computador \ Configurações do Windows \ Configurações de Segurança \ Grupos Restritos.

    
por 09.07.2009 / 14:25
0

Não há uma maneira fácil de negar aos administradores locais o direito de instalar software. Você pode alterar as permissões em C: \ Arquivos de Programas e em várias chaves do Registro, mas é claro que, sendo administradores locais, os usuários têm o direito de alterar as permissões novamente.

A única boa maneira de fazer isso é criar um novo grupo que forneça aos usuários os direitos de que precisam e manter os usuários fora do grupo de administradores locais.

Como alternativa, use alguma forma de auditoria para identificar quando eles instalaram algo que não deveriam.

Este foi um grande problema quando o spyware era tão prevalente, mas a maioria dos AVs modernos são muito bons em parar as instalações de spyware.

JR

    
por 09.07.2009 / 12:25
0

Comando CMD simples: Administradores do NET LOCALGROUP [UserName] / delete

    
por 09.07.2009 / 15:02
0

Se você estiver usando Extensões de Diretiva de Grupo Win2008, há uma maneira de modificar o grupo de Administradores Locais, em vez de sobrescrevê-lo totalmente, como faz a Diretiva de Grupos Restritos.

Veja este artigo: link

    
por 09.07.2009 / 20:12

Tags

Permitir o uso de tela sem a capacidade de desanexar sessões Como é o botão na fonte de alimentação da workstation Dell Optiplex 760?