Нужны предложения по решению проблемы с ГП в АД

monkkey · Отправлено: **14:05, 21-01-2008** | #2

Запретите интерактивный вход (не забудьте протестировать) (англ - Deny interactive logon). Кстати, локальный администратор может загрузиться без сети и разрешить себе всё.

HLT · Отправлено: **14:13, 21-01-2008** | #3

Цитата monkkey:

Deny interactive logon »

Вообще-то проще РАЗРЕШИТЬ логон ТОЛЬКО Domain users, чем ЗАПРЕЩАТЬ куче локальных учеток.

К тому же Deny не получится поставить на локальную группу Users: по умолчанию в ней сидит группу Domain users.

Однако тут возникает одна проблема:
При попытке разрешить локальный логон только доменным пользователям - получаем сообщение об ошибке: "Администраторы (имеется в виду локальная группа администраторов) должны иметь право локального входа".
Подробнее - здесь: http://support.microsoft.com/kb/823659

Поэтому с помощью политик отключаем локальные учетные записи администратора и гостя, а все остальные учетные записи - находим и удаляем (или блокируем), чтобы локально остались только 2 учетки: админ и гость.
Находить и удалять/блокировать можно скриптом, можно руками удаленно (если компов немного).

Для пущей важности через ГП прописываем членство в ЛОКАЛЬНЫХ группах:
в группу "Users" - только группу "Domain users"
в группу "Administrators" - только группу "Domain admins" и BUILTIN\Administrator (он заблокирован, ничего плохого не будет. Зато когда комп потеряет домен и надо будет залогиниться локально - спокойно разблокируем админа, загрузимся под ним, и всё что надо сделаем. Методы разблокировки описаны на форуме не раз, достаточно воспользоваться поиском)

В группу "Power users" руками заносим "особо одаренных" пользователей, персонально на каждом компе.
Или, если нет особых возражений в плане наличия повышенных прав, - через политику помещаем туда все тех же "Domain users".

В итоге получаем:
Все локальные пользователй (в самом лучшем случае их всего 2 - админ и гость) - заблокированы.
Соответственно, залогиниться не получится.
Логиниться могут только доменные пользователи.
Ставить софт, делать всякие другие гадости - могут, являясь членами группы Power users
Однако создать локального пользователя или включить отключенного - не могут, т.к. не администраторы.
Всем нравится, все довольны

kaltov · Отправлено: **14:16, 21-01-2008** | #4

Запрета интерактивного входа на компьютер запрещает логинится не только локальной учетной записи но и доменной учетной записи на компьютер ЛОКАЛЬНО!! А мне нужно запретить вход только локальным учетным записям, чтобы могли заходить только с доменными учетными записями

HLT · Отправлено: **14:37, 21-01-2008** | #5

читаем еще раз, внимательно:

Цитата HLT:

с помощью политик отключаем локальные учетные записи администратора и гостя, а все остальные учетные записи - находим и удаляем (или блокируем), »

Цитата HLT:

Логиниться могут только доменные пользователи »

kaltov · Отправлено: **14:49, 21-01-2008** | #6

Спасибо. Информации вполне достаточно. Будем работать дальше.