locked
GPO可否讓所有的domain computer都移掉自己domain ID的Local Administrators群組 ? RRS feed

  • 問題

  • 過去MIS的習慣是在安裝完電腦時,就把該同仁的網域帳號(Ex.  domain.net\ID1)加入成為該電腦的Local Administrators 
    以前的目的是為了讓一些軟體,如Dr.eye、AutoCAD...等能正常的運作。

    但如此就造成每位同仁的帳號就是local Administrators group 權限(最大),AD GPO 根本無法限制使用者的軟體安裝權限(軟體版權管理概念)
    所以必須將所有的Domain user ID回歸成Domain users group 的權限,部份成員再用AD GPO的「受限群組群組」去成為Power users group 或 Administrator Group即可。

    現在問題是在於已經有200多台以上的電腦早已設定完個人的網域帳號 = Local Administrators !!
    是否GPO 還有何方式可「清除/移除」這些設定? 否則使用遠端管理控制介面(compmgmt.msc) ,一台一台遠端設定200多台,是還滿累的!

    2013年11月5日 上午 03:12

解答

  • 自己測出答案:

    在AD GPO 的「受限群組群組」建立一個Administrators ,並直接限制死local Administrators 的成員有誰!

    不過要非常的注意,因為win7 預設的local administrator ID是disable 的,要打開,或直接建一個admin ID,由AD GPO配給它成為local Administrators 權限。

    • 已標示為解答 阿寶 2013年11月5日 上午 03:36
    2013年11月5日 上午 03:35