none
запрет пользователей на логон локально RRS feed

  • Вопрос

  • Здравствуйте.Меня интересует как запретить пользователям заходить на свои компьютеры которые находятся в домене Windows 2000/2003 локально.Как сделать так чтобы они могли бы заходить только в домен?
    11 августа 2009 г. 8:46

Ответы

  • В итоге получилось.Вадим,спасибо вам за поддержку.Остальных я тоже очень благодарю.
    Получилось случайно.На той машине клиентской на которой я тестировал так и не получилось,НО я понял из за чего.Она была свежеустановленная и без апдейтов.и в логах было написана ошибка что настройки безопасности не могут примениться к клиентской машине.посмотрел в инетет по евенту и оказалось что необожимо скачивать хотфиксы и апдейты.а на той клиентской машине на которой они установелны она применилась и заработала.Так что дело получаетсяв апдейтах и хотфиксах.Тему можно закрывать всем спасибо кто помог.
    • Помечено в качестве ответа Nikita PanovModerator 7 сентября 2009 г. 10:16
    14 августа 2009 г. 10:17

Все ответы

  • удалить их локальные учётные записи. В принципе, можно сделать через скрипт с использованием net user.


    [http://www.sysadmins.lv] As always enjoy the automation of tools within the Windows-based, .NET aware, WPF accessible, multi-processes on the same IP / Port usage, admin's automation tool, powershell.exe! © Flowering Weeds
    11 августа 2009 г. 9:04
  • Мне кажется что лучше не удалять а отключать. При удалении и удалится его профиль. Отключение учетной записи позволит не входить локально.
    11 августа 2009 г. 10:14
  • а можно ли как нибудь это сделать через gpo?если на отдельном компьютере отключить учетную запись локальную тогда конечно не будет входить.а если компьютеров в сети 500?
    Может быть есть какая то опция в групповых политиках?должна быть по моему.Через скрипт я не могу сделать потому что не умею их писать.может есть еще какие то идео или может ссылками поможете?
    11 августа 2009 г. 11:49
  • Попробуй изменить вот эту политику.
    Групповая политика - Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Назначение прав пользователя - Локальный вход в систему.

    Тут попробуй указать группы Администраторы, Операторы архива, Опытные пользователи, Пользователи домена.

    Только сначала протестируй, я не уверен.
    • Предложено в качестве ответа Vadims PodansMVP 11 августа 2009 г. 11:57
    11 августа 2009 г. 11:56
  • Евгений,я посмотрел данную групповыу политику.Но локальный аккаунт например alex всегда входит в группу администраторы.удалять этот аккаунт на каждом компьютере не имеет смысла.а группу администраторы нельзя удалить  из этой групповой политики.есть такой вариант чтобы  при установке компьютера сразу же вводить его  домен тгда локальная учетная запись как я понимаю создаваться не будет.Есть еще вариант  чтобы при загрузке компьютера в меню,где указывают,где надо логиниться на локальном компьютере или в домене,убрать запись "логиниться на донном компьютере".Только как это сделать?
    итак вопрос-возможно ли это сделать через групповые политики или как то через меню и если можно через меню то как?
    11 августа 2009 г. 12:17
  • а почему у вас пользватели имеют права администратора?


    [http://www.sysadmins.lv] As always enjoy the automation of tools within the Windows-based, .NET aware, WPF accessible, multi-processes on the same IP / Port usage, admin's automation tool, powershell.exe! © Flowering Weeds
    11 августа 2009 г. 12:31
  • Когда я устанавливал систему я вводил имя например alex.Оно автоматически добавилось в локальную группу administrators.потому и обладает этот пользователь правами администратора!если я хочу заходить только под доменной учетной записью что мне надо для этого сделать?

    Вадим,а как можно это сделать через стартаповый скрипт?

    11 августа 2009 г. 12:42
  • А. Тогда этот вопрос нужно решать через Restricted Groups. Просто в политике указываете свою доменную учётную запись и говорите в политике, что эта учётная запись будет входить в локальную группу администраторов.


    [http://www.sysadmins.lv] As always enjoy the automation of tools within the Windows-based, .NET aware, WPF accessible, multi-processes on the same IP / Port usage, admin's automation tool, powershell.exe! © Flowering Weeds
    11 августа 2009 г. 12:45
  • Евгений,я посмотрел данную групповыу политику.Но локальный аккаунт например alex всегда входит в группу администраторы.удалять этот аккаунт на каждом компьютере не имеет смысла.а группу администраторы нельзя удалить  из этой групповой политики.есть такой вариант чтобы  при установке компьютера сразу же вводить его  домен тгда локальная учетная запись как я понимаю создаваться не будет.Есть еще вариант  чтобы при загрузке компьютера в меню,где указывают,где надо логиниться на локальном компьютере или в домене,убрать запись "логиниться на донном компьютере".Только как это сделать?
    итак вопрос-возможно ли это сделать через групповые политики или как то через меню и если можно через меню то как?
    Ну определи для групп Администраторы домена, А группу Администраторы удали, и добавь просто пользователя Администратора в список.
    11 августа 2009 г. 12:53
  • Restricted Groups нужно как я понимаю для того чтобы,на определенных компьютерах сети входящих в определенную OU  в определенную группу заходил бы определенный доменный юзер.так?например я хочу чтобы  в группу administrators на всех компьютерах заходил бы  юзер alex.но мне нужно сделать абсолюьно другое.Мне нужно чтобы на кое каких компах сети локальные юзеры НЕ могли бы залогиниться локально.для этого их надо убрать из группы administrators.может есть какая политика чтобы полностью очистить группу administrators  от всех юзеров в нее входящих через групповую политику?Может быть есть еще какие либо идеи?
    11 августа 2009 г. 13:19
  • Restricted Groups как раз этим и занимается. Она вычищает из локальных групп всех имеющихся пользователей и добавляет в неё только тех пользователей, которые указаны в политике. Но вы не забывайте, что кого-то назначить в эту группу надо, иначе не будет совсем административного доступа.
    [http://www.sysadmins.lv] As always enjoy the automation of tools within the Windows-based, .NET aware, WPF accessible, multi-processes on the same IP / Port usage, admin's automation tool, powershell.exe! © Flowering Weeds
    11 августа 2009 г. 13:21
  • хорошо щас попробую но все равно большое спасибо.
    11 августа 2009 г. 13:28
  • Значит так.Создал OU,применил к ней новый обьект групповой политики,в нем настроил restricted group так же как приведено вот в этой ссылке http://zona.su/2009/01/restricted-groups-remote-desktop.html вариант который перечеркнут красным крестиком.нсоздал конечно глобальную группу сунул туда пользователя- это понятно.загрузился на компьютере на клиентском посмотрел результирующую данная gpo успешно применяется к нему.Но на локальном компьютере в группе администраторы как все были юзеры-админы так и остались((не удалились.а моя группа туда не добавилась.что за.......??
    11 августа 2009 г. 16:55
  • точно опишите ваш процесс. Есть подозрение, что вы не так сделали группы и добавили их в политику.
    [http://www.sysadmins.lv] As always enjoy the automation of tools within the Windows-based, .NET aware, WPF accessible, multi-processes on the same IP / Port usage, admin's automation tool, powershell.exe! © Flowering Weeds
    11 августа 2009 г. 20:49
  • подробно обьясняю как пытаюсь сделать.итак с самого начала.В AD сделал OU кинул туда пользователей,как юзеров ,так и аккаунты компьютеров.назначил новую gpo и в настройках restricted groups сделал следуещее:привожу на английском:

    1. Right-Click the Restricted Groups icon and select Add Group…

    2. When the dialog box opens, select Browse, change the “Location” by clicking the “Locations” button and select the name of the local machine and Click OK(написано надо указать группу   в локальной машине. ,то есть на самом контроллере домена ведь так?)

    3.Choose the appropriate local group that you are trying to add members to (such as administrators  and click OK)
    6. Click OK again.
    7. When the next dialog box appears it will contain 2 sections name ‘Members’ and ‘Members Of’
    8. Click on the Add button next to ‘Members’ and select the group from the domain that should be the local administrator.(то есть мою группу глобальную которую я создал в OU.
    9. Click OK and OK again.

    в Итоге политика применилась на клиентской машине это видно из rsop  но вот моя группа не добавилась в локальную группу,и все члены которые там были так и остались там.уже не знаю как с этим бороться.((

    12 августа 2009 г. 19:39
  • нам не надо переписывать мануалы. Вы скажите, что именно _вы_ делали.
    [http://www.sysadmins.lv] As always enjoy the automation of tools within the Windows-based, .NET aware, WPF accessible, multi-processes on the same IP / Port usage, admin's automation tool, powershell.exe! © Flowering Weeds
    13 августа 2009 г. 9:00
  • Когда я устанавливал систему я вводил имя например alex.Оно автоматически добавилось в локальную группу administrators.потому и обладает этот пользователь правами администратора!если я хочу заходить только под доменной учетной записью что мне надо для этого сделать?

    Вадим,а как можно это сделать через стартаповый скрипт?


    net user alex /active:no

    Can't get it out of my head...
    13 августа 2009 г. 18:10
  • В итоге получилось.Вадим,спасибо вам за поддержку.Остальных я тоже очень благодарю.
    Получилось случайно.На той машине клиентской на которой я тестировал так и не получилось,НО я понял из за чего.Она была свежеустановленная и без апдейтов.и в логах было написана ошибка что настройки безопасности не могут примениться к клиентской машине.посмотрел в инетет по евенту и оказалось что необожимо скачивать хотфиксы и апдейты.а на той клиентской машине на которой они установелны она применилась и заработала.Так что дело получаетсяв апдейтах и хотфиксах.Тему можно закрывать всем спасибо кто помог.
    • Помечено в качестве ответа Nikita PanovModerator 7 сентября 2009 г. 10:16
    14 августа 2009 г. 10:17