none
Изменение локального администратора RRS feed

  • Вопрос

  • Добрый день коллеги.

    Есть 2 вопроса:

    1. Станции в домене, но на каждой  станции остались локальные администраторы, пароли либо от которых я не знаю, либо даже не знаю как называется учетка локального админа.

    Вот сам вопрос как изменить пароль на локальной учетной записи или как отключить некоторые из них что бы ни кто не мог зайти.

    2. Есть ли смысл закрывать от администратора домена доступ к ресурсам ПК ivanov-pc\С$ и как это сделать. А так получается что админ может заходить на каждую станцию без ввода пароля.

    6 августа 2018 г. 12:36

Ответы

  • 1 через политику вы можете переименовать и отключить локальных админов. Для управления паролями используется инструмент laps или скрипты, но нужно понимать что имея физический доступ к пк пользюк может сбросить пароль локального админа. Защитой может выступать secure boot + password на bios в придачу ко всему перечисленому

    2 керберос он такой если в тикете есть необходимые флаги то пароль не запрашивается. А в чем проблема с закрытьем админ шар от админов если они и так их могут открыть?


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа Razor1212007 9 августа 2018 г. 14:40
    6 августа 2018 г. 12:54
    Модератор

Все ответы

  • 1 через политику вы можете переименовать и отключить локальных админов. Для управления паролями используется инструмент laps или скрипты, но нужно понимать что имея физический доступ к пк пользюк может сбросить пароль локального админа. Защитой может выступать secure boot + password на bios в придачу ко всему перечисленому

    2 керберос он такой если в тикете есть необходимые флаги то пароль не запрашивается. А в чем проблема с закрытьем админ шар от админов если они и так их могут открыть?


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа Razor1212007 9 августа 2018 г. 14:40
    6 августа 2018 г. 12:54
    Модератор

  • 2. Есть ли смысл закрывать от администратора домена доступ к ресурсам ПК ivanov-pc\С$ и как это сделать. А так получается что админ может заходить на каждую станцию без ввода пароля.

    - создаёте отдельные учётные запииси с правами доменных администраторов, для работы по обслуживанию серверов и служ
    - удаляете права доменный администраторов у "основных своих учёток" и добавляете их в локальные админы на всех компах для администрирования рабочих станций пользователей.

    и да: смысла нет.

    6 августа 2018 г. 13:31
    Модератор
  • 1 через политику вы можете переименовать и отключить локальных админов. Для управления паролями используется инструмент laps или скрипты, но нужно понимать что имея физический доступ к пк пользюк может сбросить пароль локального админа. Защитой может выступать secure boot + password на bios в придачу ко всему перечисленому

    2 керберос он такой если в тикете есть необходимые флаги то пароль не запрашивается. А в чем проблема с закрытьем админ шар от админов если они и так их могут открыть?


    The opinion expressed by me is not an official position of Microsoft

    1. Спасибо. С Laps не работал, читал что сначала нужно протестировать данные настройки в тестовой среде!

    Получается через политику теперь нельзя менять пароли?! 

    2.  Понятно, думал как то это влияет на безопасность. Тогда нет смысла запрещать админам доступ к ПК пользователей.

    7 августа 2018 г. 6:25
  • Через политику давно уже нельзя менять пароль. Если LAPS не хотите развёртывать, то как вариант это скрипт, который будет проходить по каждой машине, проверять её доступность, менять пароль админа и записывать в лог. В gallery есть базис для такого скрипта. Но LAPS конечно поудобней и надёжней будет.

     
    7 августа 2018 г. 6:34