none
Macchine in dominio con amministratore locale disabled? RRS feed

  • Domanda

  • Salve a tutti,

    ho un dominio Windows 2003, e clients XP.

    Dobbiamo fare la bonifica di tutte le postazioni con amministratori locali abilitati.

    Quale sarebbe il metodo più semplice di disabilitare tutti gli amministratori locali, si può creare una Group Policy e quale sarebbe?

    Se una macchina senza amministratore locale abilitato non va più in rete, come si può fare se ad esempio debbo cambiare scheda e debbo installare i driver?

    Grazie a tutti

    Tony

     

    lunedì 14 marzo 2011 15:11

Risposte

  • Inzio dal secondo quesito:

    se l'account administrator (parlo di xp) è disabilitato, puoi avviare in modalità provvisoria, loggarti come administrator e riavviare con cavo di rete scollegato (per evitare che riprenda la gpo).

    Quindi eccoci al primo quesito: l'account admnistrator può essere disabilitato tramite gpc, in computer setting, windows setting tra le impostazioni di sicurezza.

     


    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]adcoop.it
    lunedì 14 marzo 2011 15:41
  • Comunque alla fine questa è la procedura che abbiamo fatto, che può essere utile anche ad altri:

    per far in modo che su tutte le postazioni l'amministratore locale sia DISABILITATO e che eventuali altri amministratori locali (es. Pippo) siano degradati ad utenti semplici (tolti da gruppo Administrators), bisogna:

    1. Creare una OU dove metteremo tutte le macchine interessate.

    2. Creare una Policy legata a questa OU

    3. Impostare la policy in "Computer Policy > Windows Settings > Security Settings > Local policies > Security Options" in "Accounts:Administrator account status setting" impostare in DISABLED.

    4. Poi in "Computer Policy > Windows Settings > Security Settings in "Restricted
    groups" aggiungere il gruppo Administrators ed inserire, in "Members of this group", "Domain admins" e tutti i gruppi di amministratori che vogliamo.

    Da ora in poi solo i gruppi specificati nei restricted groups saranno amministratori delle macchine.

    Tony

    mercoledì 16 marzo 2011 16:22

Tutte le risposte

  • Inzio dal secondo quesito:

    se l'account administrator (parlo di xp) è disabilitato, puoi avviare in modalità provvisoria, loggarti come administrator e riavviare con cavo di rete scollegato (per evitare che riprenda la gpo).

    Quindi eccoci al primo quesito: l'account admnistrator può essere disabilitato tramite gpc, in computer setting, windows setting tra le impostazioni di sicurezza.

     


    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]adcoop.it
    lunedì 14 marzo 2011 15:41
  • Inzio dal secondo quesito:

    se l'account administrator (parlo di xp) è disabilitato, puoi avviare in modalità provvisoria, loggarti come administrator e riavviare con cavo di rete scollegato (per evitare che riprenda la gpo).

    non è proprio così: se l'administrator locale è disabilitato non ti puoi loggare neppure in modlaità provvisoria, da quel punto di vista sei chiuso fuori.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 14 marzo 2011 16:12
    Moderatore
  • 1) puoi farlo con uno script di startup nelle gpo;

    2) devi sperare di avere in cache le credenziali di un domain admin.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 14 marzo 2011 16:13
    Moderatore
  • 1) puoi farlo con uno script di startup nelle gpo;

    2) devi sperare di avere in cache le credenziali di un domain admin.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org

    Ok ho capito per la seconda.

    Per quanto riguarda la Group Policy, ho capito che si trova in "Computer Configuration|Windows Settings|Security Settings" in "Restricted Groups", giusto?

    Ma come configurarla?

    Grazie

    Tony

    lunedì 14 marzo 2011 16:33
  • Per quanto riguarda la Group Policy, ho capito che si trova in "Computer Configuration|Windows Settings|Security Settings" in "Restricted Groups", giusto?

    Ma come configurarla?

    http://blogs.technet.com/b/chenley/archive/2006/07/13/441642.aspx
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 15 marzo 2011 10:16
    Moderatore
  • Per quanto riguarda la Group Policy, ho capito che si trova in "Computer Configuration|Windows Settings|Security Settings" in "Restricted Groups", giusto?

    Ma come configurarla?

    http://blogs.technet.com/b/chenley/archive/2006/07/13/441642.aspx
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org


    Ho letto,

    nell'articolo suggerisce di operare su un'altra policy: "Computer Policy | Windows Settings | Security Settings | Local policies | Security Options" in "Accounts:Administrator account status setting", legandola al dominio. Applicandola non ci sarebbero più amministratori locali.

    A me sembrano più granulari i "restricted groups" che permettono delle eccezioni, giusto?

    Grazie

    Tony

    martedì 15 marzo 2011 11:26
  • Inzio dal secondo quesito:

    se l'account administrator (parlo di xp) è disabilitato, puoi avviare in modalità provvisoria, loggarti come administrator e riavviare con cavo di rete scollegato (per evitare che riprenda la gpo).

    non è proprio così: se l'administrator locale è disabilitato non ti puoi loggare neppure in modlaità provvisoria, da quel punto di vista sei chiuso fuori.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org

    Ho provato su una macchina virtuale XP Sp3 avendo solamente come account locale "Administrator", e disabilitato, entrando in Safe mode mi ha fatto entrare.

    Saluti

    Tony

    mercoledì 16 marzo 2011 08:27
  • Ho provato su una macchina virtuale XP Sp3 avendo solamente come account locale "Administrator", e disabilitato, entrando in Safe mode mi ha fatto entrare.

    vuoi dire che tu, avviando in safe mode, riesci a fare logon sul pc con un account administrator che risulta disabilitato ?
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 16 marzo 2011 09:11
    Moderatore
  • Ho provato su una macchina virtuale XP Sp3 avendo solamente come account locale "Administrator", e disabilitato, entrando in Safe mode mi ha fatto entrare.

    vuoi dire che tu, avviando in safe mode, riesci a fare logon sul pc con un account administrator che risulta disabilitato ?
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org


    Si, ho provato diverse volte, quando si entra in "safe mode" e si va a vedere l'account di amministratore locale risulta disabilitato. Ma ti fa entrare.

    D'altronde avevo letto questo articolo ed ho provato:

    http://technet.microsoft.com/en-us/library/2006.01.securitywatch.aspx

    Non so però se funziona con Vista o 7, in futuro farò delle prove, ora non ho la macchina virtuale...

    Sembrerebbe diverso:

    http://social.technet.microsoft.com/Forums/en/w7itprosecurity/thread/4e2e413f-0e0a-493a-8c02-cb2665a1e14f

    Tony

     

     

    mercoledì 16 marzo 2011 10:04
  • chiedo scusa ad Adriano perchè ha ragione lui: è possibile fare logon con l'account administrator locale anche se questo è disabilitato purchè si avvii il sistema in modalità provvisoria e lo dice pure un articolo della KB ossia questo http://support.microsoft.com/kb/814777.

    Presupponevo che ciò non fosse possibile perchè mi sembrava una falla di sicurezza del s.o. ed in effetti potrebbe anche esserlo se ci pensate bene.

    In ogni caso, scusa Adriano :)


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 16 marzo 2011 12:55
    Moderatore
  • vedi la risposta con le scuse ad Adriano.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 16 marzo 2011 12:56
    Moderatore
  • Comunque alla fine questa è la procedura che abbiamo fatto, che può essere utile anche ad altri:

    per far in modo che su tutte le postazioni l'amministratore locale sia DISABILITATO e che eventuali altri amministratori locali (es. Pippo) siano degradati ad utenti semplici (tolti da gruppo Administrators), bisogna:

    1. Creare una OU dove metteremo tutte le macchine interessate.

    2. Creare una Policy legata a questa OU

    3. Impostare la policy in "Computer Policy > Windows Settings > Security Settings > Local policies > Security Options" in "Accounts:Administrator account status setting" impostare in DISABLED.

    4. Poi in "Computer Policy > Windows Settings > Security Settings in "Restricted
    groups" aggiungere il gruppo Administrators ed inserire, in "Members of this group", "Domain admins" e tutti i gruppi di amministratori che vogliamo.

    Da ora in poi solo i gruppi specificati nei restricted groups saranno amministratori delle macchine.

    Tony

    mercoledì 16 marzo 2011 16:22