Utente amministratore locale tramite GPO

8

Ho un DC Windows 2008R2 (solo installazione), avevamo già circa 25 client Windows 7 professionali / finali, che ora stiamo per unire al nostro nuovo dominio / dc. Gli utenti stavano già utilizzando le macchine ed erano amministratori locali su quella macchina.

Voglio distribuire un UTENTE tramite GPO che può essere creato su ogni casella LOCAL di Windows 7 e avere diritti di amministratore locale o un utente di dominio che ha i diritti di amministratore LOCAL su ogni singolo PC del dominio (Windows XP, 7).

Sarò grato se qualcuno potesse aiutarci su questo - ho provato a crearmi un utente ma non verrà creato, ho usato il Computer Settingsgruppo in GPO Edit per creare l'utente.

Grazie per la lettura - attendo con ansia la tua guida Rihatum

windows-server-2008-r2  group-policy 
rihatum
fonte

Risposte:

9

La mia prima raccomandazione è di strappare quei diritti di amministratore lontano dagli utenti. Ti renderà la vita molto più facile alla fine. COSÌ MOLTO PIÙ FACILE! Gli utenti hanno la tendenza a rovinare davvero i loro computer quando sono amministratori ... Virus, spyware, barre degli strumenti, freeware junky, modificare queste impostazioni, eliminare questo file ... semplicemente non occuparsene.

Detto questo, se devi davvero concedere agli utenti i diritti di amministratore, puoi facilmente creare un utente di dominio che disponga dei diritti di amministratore locale su ciascun PC. Inizia creando un utente in AD. Quindi creare un criterio di gruppo e applicarlo a tutte le workstation. In questo criterio di gruppo approfondire fino a questo:

Configurazione computer -> Criteri -> Impostazioni di Windows -> Impostazioni di sicurezza -> Gruppi con restrizioni

Aggiungi un nuovo gruppo con restrizioni e assicurati che gli amministratori di dominio e l'utente appena creato ne siano membri. Ciò non ti consentirà di aggiungere altri amministratori locali a questi computer, ma realizzerà semplicemente ciò che desideri fare.

Jason Berg
fonte
Ciao Jason, grazie per la risposta, c'è un modo per eliminare eventuali utenti amministratori locali esistenti sulle workstation client tramite GPO? quindi applicare il mio gpo di amministrazione locale sui computer client? Inoltre, se, ad esempio, il CC fosse inattivo, quell'utente locale (che creeremo tramite GPO) sarebbe comunque in grado di accedere alla macchina localmente? Grazie
Rihatum il
4

Le altre risposte lo hanno coperto bene, ma citerò solo che le preferenze lato client di Criteri di gruppo sono un'altra buona opzione per la gestione di utenti e gruppi locali, con un po 'più di flessibilità (ma meno compatibilità client) rispetto ai gruppi con restrizioni.

Shane Madden
fonte
1
NB: avrebbe dovuto essere installato come parte degli aggiornamenti regolari, ma i client XP hanno bisogno di una patch per consentire l'uso delle Preferenze lato client.
Holocryptic,
Ciao @olocrittico, cosa significa NB ..?
Margherita,
1
Holocryptic,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.