Lidar com contas de usuários em dispositivos antes da associação ao domínio

Navegue suas respostas
1

Quais são as práticas recomendadas para lidar com contas, administradores e usuários, criadas antes da associação ao domínio do sistema?

  • Eles serão classificados em uma UO? Eles podem ser mesclados com os usuários do domínio que serão criados?
  • Os usuários administradores locais de todos os dispositivos membros podem ser padronizados para algo como o mesmo nome de usuário / senha, etc.?
  • Quais são as práticas recomendadas para as contas de administrador necessariamente criadas ao instalar o sistema operacional em novos dispositivos?
  • Até que ponto os administradores locais podem usar seu privilégio de administrador para itens restritos por GPOs? (Por exemplo, se eu restringir a instalação do software em todos os dispositivos, eles podem ser instalados quando executados como administrador local?)
por Oxwivi 19.09.2015 / 13:04

2 respostas

1

Suponho que você esteja falando sobre contas em estações de trabalho clientes.

  • Sendo contas locais, elas não chegarão a nenhuma UO do AD. Você não pode mesclá-los, mas pode usar ferramentas como o Assistente de perfil de usuário do Forensit para transferir tudo de uma conta local para uma conta de domínio.

  • Não é possível padronizar os administradores existentes, mas você pode criar novas contas de administrador local para todos os clientes e desabilitar o administrador incorporado por meio do GPO: link

  • Quanto aos PCs recém-instalados, definimos a mesma senha de administrador interna (muito complexa) para todas as máquinas.

  • os administradores locais ainda são administradores. Você pode tentar habilitar Desativar o Windows Installer e Proibir instalações do usuário em GPO do Windows, mas ele funcionará somente em itens que usam o Windows Installer. / p>

por 19.09.2015 / 14:47
1

Will they be classified under an OU? Can they be merged with the domain users that will be created?

As contas locais nunca voltam ao AD, na verdade, você não poderá acessar nada relacionado ao lado do usuário dos GPOs quando conectado como usuário local. As configurações de GPO do lado do computador ainda serão aplicadas.

Can the local admin users across all member devices be standardized to something like same username/password, etc?

Isso mudou um pouco nos últimos anos. Você costumava aplicar uma senha de administrador com relativa facilidade por meio de GPOs, mas desde a atualização MS14-025 . Você não pode mais impor senhas sem uma correção de terceiros.

What are the best practices for the admin accounts necessarily created when installing OS on brand new devices?

Em nosso ambiente, definimos uma senha de administrador complexa, principalmente para técnicos para resolver problemas no campo. Algumas pessoas desativam totalmente a conta de administrador e contam com grupos restritos do AD.

To what extent can local admins can use their admin privilege for things restricted by GPOs? (For example, if I restrict software installation on all devices, can they be installed when run as local admin?)

Uma vez que você dê a alguém uma conta de administrador em uma caixa, não há nada que eles não possam fazer (dependendo do nível de habilidade deles). Como administrador, embora sejam aplicados GPOs que podem impedir as coisas, há sempre ao redor deles se a pessoa realmente quiser. Consulte por que você não deve ser executado como administrador .

    
por 19.09.2015 / 17:26

Tags

Esquecer erros de entrega de e-mails encaminhados Permitir acesso no diretório inicial para o apache, mas não para outros usuários?