Mein Windows Vista-Arbeitscomputer ist Mitglied einer Domäne. Die Domänenadministratoren haben eine Gruppenrichtlinie eingerichtet, die sie jede Nacht als Administratoren meines Computers hinzufügt.Hinzufügen von Administratoren über Gruppenrichtlinien
Gibt es eine Möglichkeit, dies zu verhindern? Ich bin ein Administrator auf dem Computer.
Diese sind ernsthafte Antworten:
Sie können Gruppenrichtlinien ändern: es lokale Einstellungen außer Kraft setzen kann oder nicht außer Kraft gesetzt werden. Domain Admins trump lokalen Admins in AD
Aber warum?
Es gibt keine (nützliche) Möglichkeit. Dies ist jedoch kein technisches Problem, sondern ein politisches Problem (wenn überhaupt ein Problem). Nehmen Sie es mit Ihren Administratoren und Ihrem Chef auf. Frage sie warum und sie sollten es erklären.
Dieses Verhalten ist eine Standardrichtlinie übrigens.
Ja, Sie können. Ihnen stehen verschiedene Möglichkeiten zur Verfügung. Ein paar Ideen:
ihre lokalen Admin löschen. Fügen Sie Ihren eigenen lokalen Admin-Benutzer mit demselben Benutzernamen, aber einem anderen Passwort hinzu. Der GPO-Zusatz wird davon ausgehen, dass der Benutzer bereits dort ist und keine Änderungen vornehmen.
Aktualisieren Sie die Registrierungsberechtigungen, um den Zugriff auf mehrere Schlüssel zu entfernen, die zum Hinzufügen eines Benutzers erforderlich sind. Mark Russinovich beschreibt Verfahren on his blog.
Bearbeiten Sie die NTFS-Berechtigungen für das Verzeichnis, in dem die Gruppenrichtlinienobjekte zwischengespeichert werden. (Dies wird natürlich brechen all GPOs, nicht nur die lokale Admin ...)
Unterm Strich: als lokaler admin, Sie etwas tun können. Damit die Gruppenrichtlinie funktioniert und das Gruppenrichtlinienobjekt einen lokalen Benutzer hinzufügt, muss etwas sein. Brechen Sie irgendeinen Teil dieses Etwas und Sie haben Ihre Lösung gefunden.
Natürlich, nur weil man kann, aber das bedeutet nicht, dass Sie sollte. Ich war ein IT-Typ, Nutzer haben mir das angetan und es ist irritierend. Es ist ein politisches Problem und sollte nichttechnisch gehandhabt werden.
Jedes Mal, wenn Sie sich mit Ihrem Arbeitsnetzwerk verbinden, wird dies passieren, so wie Unternehmen ihre Computer steuern, empfehle ich mit einem Netzwerkadministrator zu sprechen.
HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\Restrict_Run 1 auf den Wert enthalten erweitern (durch Doppelklick getan zu bearbeiten und die Eingabe 1)http://www.computerstepbystep.com/group_policy_windows_7.html
Disconnecting wird nicht helfen, da Gruppenrichtlinien lokal zwischengespeichert werden, und das Entfernen von der Domäne erfordert sowieso Domänenadministrator-Privilegien ... aber ja, das ist es - aber er würde die Admin-Kooperation brauchen ^^ –
er he. Ich wusste das nicht (es ist eine Weile her, seit ich ein Systemadministrator war) – gbn
@OskarDuveborn Entfernen von der Domäne erfordert nur lokale Administratorrechte. Das Applet versucht auch, das Computerkonto in Active Directory zu deaktivieren, aber das Entfernen schlägt nicht fehl, wenn dies nicht möglich ist. – Neil