none
Удаление из группы Администраторы по расписанию. RRS feed

  • Вопрос

  • Добрый день!

    Дано: домен 2008R2, пользователи c Windows 7.

    Задача: временно давать пользователям права локальных админов на их АРМ. Необходимо, чтоб в конце рабочего дня они удалялись из группы локальных админов. Как бороться с этим? Спасибо!  

    10 сентября 2019 г. 11:12

Ответы

  • погуглите add user to local admin group powershell и тоже самое, только вместо add, remove

    создаете шедульную задачу (скриптом, руками, политикой) на машине и добавляете в качестве инпута путь к файлу где указываете действие (add/remove), пользователя и время

    шедульную задачу выполняете раз в день/час или при стартапе


    The opinion expressed by me is not an official position of Microsoft

    10 сентября 2019 г. 11:24
    Модератор

Все ответы

  • погуглите add user to local admin group powershell и тоже самое, только вместо add, remove

    создаете шедульную задачу (скриптом, руками, политикой) на машине и добавляете в качестве инпута путь к файлу где указываете действие (add/remove), пользователя и время

    шедульную задачу выполняете раз в день/час или при стартапе


    The opinion expressed by me is not an official position of Microsoft

    10 сентября 2019 г. 11:24
    Модератор
  • Скрипт тогда должен работать от администратора домена (либо от пользователя обладающего правами локального админа)это не безопасно. 
    10 сентября 2019 г. 12:15
  • Скрипт тогда должен работать от администратора домена (либо от пользователя обладающего правами локального админа)это не безопасно. 
    у вас есть специальная учетка для таких задач - System которая обладает необходимыми правами

    The opinion expressed by me is not an official position of Microsoft

    11 сентября 2019 г. 3:16
    Модератор
  • Я не понимаю, как это сделать средствами AD. 

    11 сентября 2019 г. 14:21
  • Я не понимаю, как это сделать средствами AD. 

    google > gpp create schedulled task

    google > scedulled task run powershell script

    google > powershell add domain user to local group

    google > powershell remove domain user from local group

    google > powershell import-csv


    The opinion expressed by me is not an official position of Microsoft

    11 сентября 2019 г. 14:26
    Модератор
  • Исполняемый модуль запускается на ПК пользователя с правами "система" сразу же после входа пользователя на ПК.

    Модуль для предоставления административных прав:

    1. определяет логин текущего пользователя;

    2. добавляет логин в локальную группу "Администраторы";

    3. осуществляет выход пользователя из сессии.

    Модуль для удаления административного права:

    1. определяет логин текущего пользователя;

    2. удаляет логин из локальной группы "Администраторы";

    3. осуществляет выход пользователя из сессии.

    Запуск модуля с указанием необходимого действия (добавление или удаление административного права) можно запускать либо через GPO, либо через SCCM (указать в настройках "выполнить при входе пользователя" и запуск от имени пользователя "система").

    Есть один минус - если необходимо предоставить права администратора, то пользователь после входа на ПК будет сразу же разлогинен (т.е. потребуется повторный вход).

    Сам модуль есть (представляет из себя exe-файл), могу вам его предоставить (вместе с исходным текстом).





    • Изменено Mikhail_sa 18 сентября 2019 г. 12:03
    18 сентября 2019 г. 11:54