none
Локальный админ на пк в домене RRS feed

  • Вопрос

  • Коллеги, в GPO в кон. комп. настройки, параметры панели управдения, лок.поль и группы, при попытке создать нового пользователя пункты не активны. Это меры безопасности или у меня что то не то? 
    26 октября 2015 г. 7:50

Ответы

  • После установки обновления безопасности kb2962486 невозможно сохранять пароли в следующих GPP:

    • Сопоставления дисков
    • Локальные пользователи и группы
    • Назначенные задания
    • Службы
    • Источники данных

    • Предложено в качестве ответа Vector BCOModerator 26 октября 2015 г. 8:19
    • Помечено в качестве ответа xamza 26 октября 2015 г. 9:15
    26 октября 2015 г. 7:58
    Модератор
  • Так сделали из соображений что одинаковые пароли на всех системах это отнюдь не безопасно, скриптами вы все равно можете это ограничение обходить но оптимально это отключение локальных админов вовсе или установка разных паролей на всех системах.

    на практике остаются только скрипты


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа xamza 26 октября 2015 г. 9:16
    26 октября 2015 г. 8:58
    Модератор
  • 1) на такой случай есть вариант зайти в безопасном режиме

    2) так же есть вариант с hirens boot cd (и аналогами) которые позволяют включить админскую запись и сбросить ей пароль

    официальных соображений на эту тему я не встречал


    The opinion expressed by me is not an official position of Microsoft


    • Изменено Vector BCOModerator 26 октября 2015 г. 9:22
    • Помечено в качестве ответа xamza 26 октября 2015 г. 11:33
    26 октября 2015 г. 9:21
    Модератор
  • "Официально" это можно сделать с помощью DaRT из MDOP.
    • Помечено в качестве ответа xamza 26 октября 2015 г. 11:33
    26 октября 2015 г. 9:35
    Модератор

Все ответы

  • После установки обновления безопасности kb2962486 невозможно сохранять пароли в следующих GPP:

    • Сопоставления дисков
    • Локальные пользователи и группы
    • Назначенные задания
    • Службы
    • Источники данных

    • Предложено в качестве ответа Vector BCOModerator 26 октября 2015 г. 8:19
    • Помечено в качестве ответа xamza 26 октября 2015 г. 9:15
    26 октября 2015 г. 7:58
    Модератор
  • И как выкручиваться? только скриптами? 
    26 октября 2015 г. 8:54
  • Так сделали из соображений что одинаковые пароли на всех системах это отнюдь не безопасно, скриптами вы все равно можете это ограничение обходить но оптимально это отключение локальных админов вовсе или установка разных паролей на всех системах.

    на практике остаются только скрипты


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа xamza 26 октября 2015 г. 9:16
    26 октября 2015 г. 8:58
    Модератор
  • Но локальные админы нужны по любому,например при потере доверительных отношений или вывели допустим комп из домена, забыв при этом пароль локального админа, что делать? Что рекомендует Майкрософт? 
    26 октября 2015 г. 9:15
  • 1) на такой случай есть вариант зайти в безопасном режиме

    2) так же есть вариант с hirens boot cd (и аналогами) которые позволяют включить админскую запись и сбросить ей пароль

    официальных соображений на эту тему я не встречал


    The opinion expressed by me is not an official position of Microsoft


    • Изменено Vector BCOModerator 26 октября 2015 г. 9:22
    • Помечено в качестве ответа xamza 26 октября 2015 г. 11:33
    26 октября 2015 г. 9:21
    Модератор
  • "Официально" это можно сделать с помощью DaRT из MDOP.
    • Помечено в качестве ответа xamza 26 октября 2015 г. 11:33
    26 октября 2015 г. 9:35
    Модератор
  • Всем спасибо
    26 октября 2015 г. 11:33