我想在我的域的机器上禁用本地pipe理员的权限,这是可能的吗?,只是把pipe理权限给域pipe理员。 我想用组策略来做。
主要是我想要禁用安装/卸载程序的权限的用户,虽然他们是他们的机器的本地pipe理员。
将用户从“本地pipe理员”组中取出。
手动过程将是去电脑,开始我的电脑,然后“pipe理计算机”。 select“本地用户和组”,“组”,然后双击pipe理员。 从该组中删除用户。
也许最好不要将Domain Admin从这个组中取出,如果你禁止本地pipe理员组做任何事情,你可能还有其他问题。
你可能会发现很多事情都会停下来,所以如果他们做了什么奇怪的事情,那么高级用户可能是他们最好的去处。
如果你想通过组策略来做到这一点,我想你会看脚本的东西,然后让它作为启动脚本运行。
你的脚本会使用“net localgroup administrators naughtyusers / delete”
正如@Tubs所说的,不要试图扼杀本地pipe理员组织。 只是不要把你的最终用户放在那个组里。 高级用户将授予他们几乎所有pipe理员可以执行的操作,但不能更改系统范围的configuration。 虽然他们有修改registry的权利,所以给定时间和一个reg文件,我看不到有任何设置,他们不能改变。
组策略可以直接控制本地组的成员。 我目前没有可用的pipe理工具,但是它就像是“受限制的组织”。 您在此处指定的内容将成为该组的完整成员资格,您无法指示组策略更改本地组的成员身份,只需使用指定的列表完全replace成员资格,因此请记住将域pipe理员包含在pipe理员组中。
我没有足够的代表评论@pipTheGeek,但GP中的path是“计算机configuration\ Windows设置\安全设置\限制组”。
没有一个简单的方法来拒绝本地pipe理员安装软件的权利。 您可以更改C:\ Program Files和各种registry项上的权限,但当然是本地pipe理员,用户有权更改权限。
唯一的好办法是创build一个新组,让用户拥有他们需要的权限,并让用户远离本地pipe理员组。
或者使用某种forms的审计来发现他们什么时候安装了不应该的东西。
当间谍软件如此stream行时,这是一个很大的问题,但是大多数现代AVs在阻止间谍软件安装方面非常出色。
JR
简单的CMD命令:NET LOCALGROUPpipe理员[UserName] /删除
如果您使用Win2008组策略扩展,则可以修改本地pipe理组,而不是像限制组策略那样完全覆盖它。
看看这篇文章: http : //www.windowsecurity.com/articles/Securing-Local-Administrators-Group-Every-Desktop.html