2008 - [решено] Лишить пользователя домена прав локального администратора

WindowsNT · Отправлено: **23:34, 02-10-2014** | #2

Два способа.
1. Работа с reg-файлами. Это несложно, просто двойной щелчок, и политика на время отключается: http://blog.windowsnt.lv/2011/05/30/...h-srp-russian/
2. Вообще-то, у всех администраторов и сотрудников техподдержки должны быть две учётные записи — рядовая для обычной работы и административная для поддержки. На некоторых предприятиях я Администраторов рабочих станций не ограничиваю средствами SRP. Когда им потребуется что-то установить, они выполняют установку через Run as Different User, мороки ноль.

tamba · Отправлено: **14:01, 05-10-2014** | #3

Спасибо огромное! В эту то сторону я и копал... 1 способ мне понятнее и ближе, в эту я сторону я сразу и думал еще в начале... Реализовать второй не получается именно по той присине, что все в домене у меня имеют права локального Администратора, отнять которые я и пытаюсь, но пока не выходит. Остановлюсь пока на reg-файлах,это пока что кажется мне надежнее)))

Valmont · Отправлено: **16:02, 05-10-2014** | #4

Цитата tamba:

отнять которые я и пытаюсь, но пока не выходит »

немного оффтопа ))
решается административно:
- Регламент безопасности предприятия
- инвентаризация всего ПО (определяется перечень необходимого вместо "мне нравится")
- оценочная "страшилка" за "левый" софт (на руководство действует)

будет тяжко и жестко, гарантирую, у меня было много "бесед" с руководством на тему "парализации" рабочего процесса, но всегда старался объяснять при "пострадавших", что "не могу и не буду" всегда отличается от "не хочу обучиться" и всегда заверял руководство, что кто хотел и понимал необходимость перехода на аналогичное, но бесплатное ПО - всегда оказывалась помощь в освоении ПО, и другой способ - если хотите такую-то программу, то пишите вразумительное обоснование на приобретение, как правило этим и заканчивалось.

из личного опыта: я так побеждал WinRAR переводя на 7zip (почти 100 компов) и некоторые другие программы, хотя бы на фриварные вместо откровенно платных

tamba · Отправлено: **20:25, 07-10-2014** | #5

Тут немного в другом вопрос, скорее из области практической реализации вышеперечисленного средствами GPO. Захотелось мне просто сделать всех в домене обычными пользователями, а не локальными администраторами, как они становятся при вводе их в домен( может тут то собака и зарыта - все делалось и делается прогой Profwiz, для миграции в домен профиля "как есть".). В общем, вариант с использованием reg-файлов, как советовал WindowsNT мне более по душе.