我正在经历从他们的机器中删除所有我的用户从本地pipe理员的过程。 我把每个用户作为本地pipe理员,当这个盒子成像时,我可以避免所有的麻烦。 那么现在,在用户获取病毒/恶意软件之后,我决定是时候处理两个恶意中较小的一个。
我知道这样做的最好方法是通过受限制的组织GPO。 上周我尝试了这个,而我的大部分用户都离开了,我有一个相当糟糕的早晨,我恢复了所有的变化。
我做的是为组,我指定pipe理员(这是否自动承担本地组?如果当我浏览和说本地计算机(是直stream)这是否意味着每台计算机本地组?),然后我select(域组)域pipe理员,并把它们放在“这个组的成员:”
纠正我,如果我在这里错了…但是当我这样做,所有用户帐户(不是configuration文件)被从计算机上“删除”。 我假设这是因为这些用户已被设置为只有本地pipe理员,当我设置这个政策,它从本地pipe理员删除他们的帐户从计算机中删除。 其中一些用户失去了“连接”到他们的本地configuration文件,我不得不移动所有的东西,并设置一切备份。 我在整个公司也有很多权限问题,例如RDC问题和读/写问题。
SOOOOO! 我正在考虑重新做一点这个反过来,我想要一些input。 这一次,我将把最初的组作为高级用户(本地),然后将我所有的用户设置为“该组的成员:”
你们有没有看到这样做的影响? 这是解决我的问题的正确方法吗?
非常感谢!
科里
好的…我知道这个问题已经死在水里了,但是我终于在这个问题上花了一些时间解决了。
我所做的是我设置pipe理员(本地)作为初始组,然后在成员部分,我把域\域pipe理员
然后,我把我的用户组域\ Power Users作为初始组,并且在成员中,我select了高级用户(本地)
您不能使用组策略来添加或删除组中的用户。 如果本地用户(或域用户)是本地pipe理员的成员…您需要手动删除它们…或者创build一个脚本来为您执行它并将其作为login脚本或一些这样。 (只要确保排除“pipe理员”或任何需要的pipe理员用户)
作为一个规则… 永远不要给用户比绝对最低限度更多的权限。 他们永远不需要pipe理权限来完成基本任务。 (添加打印机…可以通过打印机操作员组完成…安装应用程序和驱动程序应仅保留给pipe理员。)
如果你有一个第三方的软件,坚持要求pipe理权限运行…他们要么a)说谎…或b)不是你想要做生意的供应商。 安装与pipe理员,当然…但它不应该被要求运行。
这是人们忘记的规则之一,并将永远回来困扰pipe理员。
听起来你在你面前有很多工作
我不同意TheCompWiz,因为在我的领域(教育),你经常会看到一些旧的应用程序,这些应用程序需要pipe理权限才能运行,哪些不能被组织地删除。 也就是说,在这些情况下,您通常希望使用GPO来限制用户能够执行的操作。 它不一定会减less病毒和恶意软件可以释放的恶作剧,但它可能会提供一些篱笆(取决于您制定的政策)对创build这些问题的用户摆在首位。
Novell的Zenworks产品(可以使用Active Directory或Novell自己的eDirectory运行)有一个称为“dynamic本地用户”(DLU)的function,我相信这与您正在尝试做的事情大致相符。 它提供了在机器上创build新的或pipe理现有本地用户的策略。 使用DLU,您可以在login时更改用户所属的组。 它还有一些其他的花里胡哨的东西 – 你可以离开本地用户在机器上或在注销时自动删除它,这为您提供了一些灵活的时间,当用户可能使用多台机器或机器跳过和closuresnetworking。
也就是说,你可能无法使用Zenworks,所以每个TheCompWiz的脚本解决scheme似乎是最好的方法。 我会主张一个脚本如下:1.当一个指定的用户(而不是像“pipe理员”或“客人”通用)login到一台机器… 2.检查用户的本地pipe理组3.如果用户存在于组中,然后删除它们。 4.用date标记,用户名和机器名称向用户的目录写一个小日志文件,以确认已完成。
为了清楚起见,您可能确实想重新标记您的post的标题。