Как использовать ограниченные группы GPO

Вы не можете использовать групповые политики, чтобы добавить или удалить пользователей из групп. Если локальные пользователи (или пользователи домена) будут членом локальных администраторов, то... необходимо будет вручную удалить их... или создать сценарий, чтобы сделать это для Вас и выставить его как сценарий входа в систему или некоторых такой. (просто убедиться исключить "Администратора"... или любых необходимых администраторских пользователей)

Как правило... НИКОГДА не давайте пользователям больше полномочий, чем абсолютный минимум. Им никогда не нужны административные привилегии сделать основные задачи. (Добавляющие принтеры... могут быть сделаны группой Операторов Принтера... устанавливающей приложения, и драйверы должны быть зарезервированы администраторам только.)

Если у Вас есть программное обеспечение от третьей стороны, которая настаивает на том, чтобы требовать Административных привилегий работать... они или a) лежат... или b) не поставщик, с которым Вы хотите поддерживать деловые отношения. Установка с администратором, уверенным..., но это не должно требоваться работать.

Это - один из тех людей правил, забывают... и будет всегда заставлять администратора пожалеть.

Это кажется, что у Вас есть большая работа перед Вами...

Я не соглашаюсь немного с TheCompWiz в этом в моем поле (образование), Вы будете часто видеть более старые приложения, которые действительно требуют, чтобы административный доступ работал, и которые не могут быть организационно удалены. Тем не менее в тех случаях Вы обычно хотите использовать GPOS для ограничения то, что пользователи могут сделать. Это не обязательно сократит вред, который могут развязать вирусы и вредоносное программное обеспечение, но это может обеспечить некоторые преграды (в зависимости от политик, которые Вы помещаете на месте) против пользователей, создающих те проблемы во-первых.

Продукт Novell Zenworks (который может быть выполнен с Active Directory или собственным eDirectory Novell) имеет функцию, названную "Динамический Локальный пользователь" (DLU), которому я верю, соответствует примерно тому, что Вы пробуете, делают к. Это обеспечивает политику, которая создает новое или управляет существующим локальным пользователем на машине. Используя DLU, можно измениться, который группируется, пользователь принадлежит при входе в систему. Это имеет некоторые другие дополнительные свойства также - можно оставить локального пользователя на машине или удалять его автоматически при выходе из системы, который дает Вам некоторую гибкость в течение многих времен, когда пользователи могут использовать несколько машин или машин, которые вскакивают и от сети.

Тем не менее Вы, вероятно, не имеете возможности использовать Zenworks, таким образом, решение для сценариев на TheCompWiz, кажется, лучший подход. Я защитил бы сценарий следующим образом: 1. Когда именованный пользователь (а не дженерик как "Администратор" или "Гость") входит в машину... 2. Проверьте локальную административную группу на пользователя 3. Если пользователь существует в группе, то удалите их. 4. Запишите немного файла журнала в каталог пользователя с отметкой даты, именем пользователя и названием машины, чтобы подтвердить, что это было сделано.

Вы, вероятно, хотите перефразировать, по крайней мере, заголовок своего сообщения для ясности.

Хорошо... Я знаю, что этот вопрос мертв в воде, но я наконец поместил некоторое время в эту проблему и решил ее.

То, что я сделал, является мной Администраторы набора (локальные) как начальная группа и затем в членском разделе, я поместил администраторов Domain\domain

Затем я поместил свою группу пользователей domain\Power Пользователи как начальная группа и в членах, я выбрал (Локальных) продвинутых пользователей