Помогите разобраться. Надо удалить юзеров из группы администраторы, т.к. их немало, то хотел сделать через gpo
Нашел там следующее: конфигурация пользователя - настрока- параметры панели управления, создаю локальную группу: выбираю "удалить" из "Администраторы (встроенная учетная запись)". Запускаю, не прокатывает, может потому что встроенная учетная запись?
ОС - WinServer 2008 R2

Нашел там следующее: конфигурация пользователя »
чо вдруг? Computer configuration --- Preferences --- Control panel settings --- Local users & groups.
http://s2.ipicture.ru/uploads/20120515/thumbs/E335itnU.png (http://s2.ipicture.ru/Gallery/Viewfull/10588720.html)

Пользовался кстати вот этой статьей http://www.oszone.net/7320/

leonty, не понял!

leonty, не понял! »
Что конкретно?
Показывайте с проблемной машины gpresult /R /Z

Вы указали на конфигурацию компьютера, почему? (этого я не понял)

Применяем политики вне зависимости от того, какой пользователь залогинится в системе.
Согласно статьи, применяя политику к пользователю, мы удалим его из группы администраторов того пк, на которм он зарегистрируется. На всех остальных пк, все останеться по прежнему. Если пользователь уже зарегистрировался, политика то применится и его учетная запись будет удалена из группы локальных администраторов, однако реально параметры применяться только после выхода пользователя из системы. Поэтому смысл?

Получается, что групповой политикой мою задачу не реализовать. Надо что то типо батника или скрипта?

Получается, что групповой политикой мою задачу не реализовать. »
Используйте политику Restricted groups (GP->Computer Configuration->Windows Settings->Security Settings->Restricted Groups).

ну почему вы так решили?

Restricted Groups » а как этим пунктом удалить пользователей?

а как этим пунктом удалить пользователей? »
Restricted Groups - указывает какие пользователи или группы будут входить в группу локальных Администраторов, все остальные пользователи/группы после применения политики будут автоматически удалены из группы локальных администраторов.

Restricted Groups - указывает какие пользователи или группы будут входить в группу локальных Администраторов, все остальные пользователи/группы после применения политики будут автоматически удалены из группы локальных администраторов. »
А Вы это сами проверяли? У меня такое ощущение что Вы заблуждаетесь, потому что Restricted Groups не имеет никаких параметров кроме как добавления или удаления уже существующих групп или пользователей (из АД к примеру) и у меня ощущение что она может управлять только этим списком (который есть УЖЕ в самой политике) и никак не повлияет на пользователей, которых добавили вручную в локальные администраторы (не находятся в политике).

У меня в домене стоит политика, которая в локальные администраторы добавляет служебную учетную запись для эникейщика и так вот... Я только что провел эксперимент - удалил его учетку со своего локального компьютера и добавил свою доменную учетку в локальные администраторы, после чего сделал gpupdate /force. Результат: моя учетка осталась в группе лок. админов, а еникейщик вернулся на место.

Единственный на мой взгляд верный ответ дали в самом начале про GPP где есть update\remove команды.

А Вы это сами проверяли? У меня такое ощущение что Вы заблуждаетесь, потому что Restricted Groups не имеет никаких параметров кроме как добавления или удаления уже существующих групп или пользователей и у меня ощущение что она может управлять только этим списком и никак не повлияет на пользователей, которых уже добавили вручную в локальные администраторы. »
Да я проверял работает и используйется, показывайте скрины как у Вас настроена данная политика.
Например, можно задать политику групп с ограниченным доступом таким образом, чтобы только определенные пользователи (например, Мария и Петр) являлись членами группы «Администраторы». При обновлении политики только Мария и Петр останутся членами группы «Администраторы».

Если политика групп с ограниченным доступом определена и объект Групповая политика обновлен, любой текущий член, не указанный в списке членов политики групп с ограниченным доступом, будет удален. Может также произойти удаление членов по умолчанию, таких как администраторы.

Завтра посмотрю почему не удалился мой пользователь, самому интересно стало.