处理帐户,pipe理员和用户的最佳实践是在系统的域成员之前创build的?
我会假设你正在谈论客户工作站上的帐户。
作为本地帐户,他们不会将其发送给任何AD OU。 您不能合并它们,但是您可以使用Forensit用户configuration文件向导等工具将所有内容从本地帐户转移到域帐户。
您无法标准化现有pipe理员,但可以为所有客户端创build新的本地pipe理员帐户,并通过GPO禁用内置pipe理员: http : //www.dannyeckes.com/create-local-admin-group-policy-gpo/
至于新安装的个人电脑,我们设置相同的内置pipe理员密码(一个非常复杂的)到所有机器。
本地pipe理员仍然是pipe理员。 您可以尝试在“计算机configuration\pipe理模板\ Windows Installer GPO”下启用“ 禁用Windows安装程序”和“ 禁止用户安装” ,但只能在使用Windows Installer的项目上运行。
他们会被分类到一个OU吗? 他们是否可以与将创build的域用户合并?
本地帐户永远不会回到AD,事实上,当以本地用户身份login时,您将无法访问与GPO的用户端相关的任何内容。 计算机端GPO设置仍将被强制执行。
所有成员设备上的本地pipe理员用户是否可以标准化为相同的用户名/密码等?
在过去的几年中,这一点已经发生了一些变化,您可以通过GPO相对轻松地执行pipe理员密码,但自更新MS14-025以来。 没有第三方垫片,您不能再执行密码。
在全新设备上安装操作系统时必须创build的pipe理员帐户的最佳做法是什么?
在我们的环境中,我们设置了一个复杂的pipe理密码,主要是为了解决技术问题。 有些人完全禁用pipe理员帐户,依靠AD限制组。
本地pipe理员可以在多大程度上将他们的pipe理权限用于GPO限制的内容? (例如,如果我限制所有设备上的软件安装,当以本地pipe理员身份运行时是否可以安装它们?)
一旦你给一个人的pipe理员帐户在一个盒子里,他们不能做什么(取决于他们的技能水平)。 作为pipe理员,即使GPO被应用,可能会阻止事情,如果人真的想要,他们周围总是有。 请参阅为什么你不应该以pipe理员身份运行 。