none
Доменная групповая политика для локальных пользователей RRS feed

  • Вопрос

  • Здравствуйте!

    Задача со следующими условиями:
    1. Отключить локальных пользователей Администратор и Гость;
    2. Удалить локальных пользователей User и Admin;
    3. Создать локального пользователя с именем SuperUser и добавить его в группу локальных администраторов;

    Естественно, данную задачу решать средствами групповой политики. Но из-за https://support.microsoft.com/ru-ru/kb/2962486, это теперь затруднительно (по-крайней мере, для меня). 
    К сожалению, с PowerShell не знаком. Можно конечно решить данную проблему и по-старинке, используя cmd-скрипты (net user, net localgroup). Но таким образом происходит открытая передача паролей, что не допустимо.

    16 декабря 2015 г. 13:27

Ответы

  • Смысла создавать второго админа нет, проще первого переименовать если уж очень хочется.

    Как мне кажется вам гораздо удобнее для управления локальными админами и их паролями воспользоваться официальным  решением MS - LAPS (MS Local Administrator Password Solution ). С его помощью вы сможете безопасно управлять паролями и именем локального  администратора. На каждом ПК будет свой уникальный пароль лок. админа.

    Пример настройки посмотрите здесь.

    • Предложено в качестве ответа ILYA [ sie ] SazonovModerator 17 декабря 2015 г. 8:26
    • Помечено в качестве ответа Domain User 18 декабря 2015 г. 3:06
    17 декабря 2015 г. 7:22

Все ответы

  • А почему бы SuperUser'а не сделать доменным? тогда вообще можно было только рестриктед групс заюзать.

    Ну или посмотрите воркэроунд - я так понял там просто удаленно подключаются к каждой машинке и удаленно заводят пользователя.

    16 декабря 2015 г. 14:26
  • SuperUser не должен быть доменным. Он нужен именно локальным. Его пароль будет знать только группа администраторов для административных целей.
    16 декабря 2015 г. 15:17
  • переименовывается / отключается локальная учетная запись администратора.

    создается ДОМЕННАЯ группа support и добавляется в группу локальных администраторов.

    в доменную группу добавляете ваших админов/техподдержку.

    в случае проблем с железом перегружаетесь по f8 и ваша отключенная учетная запись локального админа будет доступна.

    локально добавлять админов - не правильный путь. в чем смысл отключения одной учетной записи администратора и одновременно добавлением другой учетной записи администратора?

    17 декабря 2015 г. 6:19
  • Смысла создавать второго админа нет, проще первого переименовать если уж очень хочется.

    Как мне кажется вам гораздо удобнее для управления локальными админами и их паролями воспользоваться официальным  решением MS - LAPS (MS Local Administrator Password Solution ). С его помощью вы сможете безопасно управлять паролями и именем локального  администратора. На каждом ПК будет свой уникальный пароль лок. админа.

    Пример настройки посмотрите здесь.

    • Предложено в качестве ответа ILYA [ sie ] SazonovModerator 17 декабря 2015 г. 8:26
    • Помечено в качестве ответа Domain User 18 декабря 2015 г. 3:06
    17 декабря 2015 г. 7:22
  • С локальными пользователями еще веселее, ведь если у вашего пользователя хакнут пароль получат доступ ко всем машинкам где есть этот пользователь, и сменить его будет проблемно

    Я вот вообще не понимаю чем вам доменный пользователь не пользователь


    The opinion expressed by me is not an official position of Microsoft

    17 декабря 2015 г. 9:42
    Модератор
  • "Я вот вообще не понимаю чем вам доменный пользователь не пользователь". 

    Представьте себе, у вас доменный пользователь с правами локального администратора. Как вы зайдете под этой учётной записью, если домен не будет доступен? В принципе, можно зайти, если хоть раз заходили в систему с этой учётной записью (остаётся кеш). А если ни разу не заходили, то увы...

    Благодарю за идеи и предложения. Разбираюсь с LAPS :)

    18 декабря 2015 г. 3:05