Запрет выхода из домена (domain Unjoin)

Как запретить пользователям удалить свои компьютеры из состава домена?

Пользователям домена, которые являются членами локальной группы «Администраторы» на своих компьютерах, если захотят, смогут вывести свои компьютеры из состава домена. Это, естественно, не очень хорошо, так как означает, что пользователь может перевести свою машину в «неуправляемое» состояние (на ПК не действуют групповые политики), и это может привести к снижению уровня их безопасности и безопасности пользовательских данных, хранящихся на них.

Как же можно запретить пользователям «выгонять» свои компьютеры из домена? К сожалению, сделать это простой модификацией прав пользователя проблематично, и самым простым решением в данном случае будет удаление учетной записи пользователей вашего домена из локальной группы «Администраторы» на всех ПК, что является еще одним основанием для отказа в выдаче пользователям права локального администратора на своих машинах. Если у пользователей уже имеют права администратора на своих машинах, вы можете воспользоваться скриптом (http://gallery.technet.microsoft.com/ScriptCenter/en-us/a20ca8f9-1c4b-4851-9a2e-ee1b03b5f64b) из репозитария TechNet Script Repository, выполнить его на пользовательских машинах с помощью групповой политики, SMS-а или другим способом, скрипт удалит всех пользователей из группы локальных администраторов. Но вы должны провести тщательное тестирование, прежде чем предпринять такой шаг, т.к. многие приложения (написанные криворукими программистами) не будут работать на ПК пользователя, если он не имеет прав администратора на своей машине.


Предыдущая статья Следующая статья

Комментариев: 6 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)