Нередко в организациях можно встретить ситуации когда пользователи, рядовые и не очень, обладают правами администратора на своем рабочем компьютере (благо хоть не доменным админом).
Спрашивается для чего?! Ответ очень прост, технический специалист просто не представляет (не имеет калификации, лень решать вопросы) какую угрозу может принести такой горе-пользователь. Самостоятельная установка не лицензионного софта, изменение параметров сетевых подключений, установка подозрительных программ из интернета (результат - вирус в сети), отключение антивируса и т.д. и т.п., что в голову придет пользователю, неизвестно даже ему самому. Отсюда лишние проблемы на голову техсуппорта - а далее админа, отсутствие безопасности сети как таковой.
Подключатся к каждому компу и смотреть кто есть в группах Администраторы возможно если в сети 30 компьютеров, а если 300?! Для решения данной задачи воспользуемся групповыми политиками.
Итак идем в AD, выбираем контейнер с нужными нам компьютерами и заходим в его политику. Конфигурация компьютера - Конфигурация Windows - Параметры безопасности.
Выбираем "группы с ограниченным доступом" и добаляем туда доменную группу "Администраторы" .
В которую мы добавляем группу Администраторы домена, пользователя Администратор, на случай если машина выпадет из домена, то можно будет зайти под локальным администратором (надеюсь пароль локального админа пользователи у Вас не знают, если знают, меняйте срочно). И группу технической поддержки Tech Support, которой не нужны права на домен, но нужны админские права на локальные машины.
Будьте внимательны, при включении данной политики, все пользователи вылетят из группы локальных админов, останутся только прописанные нами в политике. При попытке локального добавления, пользователь вылетит из этой группы при следущем применении политики.
В связи с примененной нами политикой нам необходимо дать группе "Пользователи" разрешение "Изменить" на папку Program Files. Для этого переходим в параметр "Файловая система" и добавляем папку Program Files. Даем "Пользователям" право на изменение и применяем политику.
При следующей загрузке политика применится и безобразий в сети будет на порядок меньше.
Некоторым программам для нормальной работы требуется доступ к некоторым веткам реестра на редактирование, выяснить к каким не составляет труда. Их необходимо будет добавить в параметры политики "Реестр".
Теперь осталось самое приятное, послать нафик орущих юзеров, объяснить юзерам почему у них больше нет прав.
сайт сисадмина