הסרת Administrator

[lirane1]

הסרת Administrator

שלום, המשתמשים בארגון מוציאים כל הזמן את Domain Admins מקבוצת Administrator במחשב שלהם מקומית. הייתה אפשרות שראיתי פעם שאפשר להכריח ב GPO שיוסיף בכוח את Domain Admins לקבוצת Administrator במחשב מקומי. למישהו יש הפנייה לקובץ / מסמך? תודה

 

[טופי]

שבור להם את הידיים

זה באמת מוגזם... כמה משתמשים כאלה יש לך? כאלה שעורכים ומשנים את ההרשאות? לדעתי דבר כזה צריך לבוא בצורה של כללי עבודה, ולא בצורה של אכיפה.

 

[lirane1]

יש הרבה כאלה

החברה די גדולה.... מעל 1,000 עובדים הקטע שמשום מה restricted groups לא עובד לי טוב... הוא לא עושה את העבודה, ואני לא מבין למה

 

[antidot]

------>

לפחות 2000 SP4 או XP SP2 ? אתה עובד עם member of או member ? בכל מקרה, נסה להגדיר את Domain Admins כ-member of של Administrators ותדאג שכל תחנות XP מקבלות גם את ההגדרה Always wait for the network on system startup (או משהו בסגנון - לא זוכר בעל פה) נ.ב.: תגובה הבאה במקרה הטוב עוד יומיים

(שורף חצי שעה במלון לפני ההופעה של דיוויד גילמור)

 

[lirane1]

=======>

גם שאתה בחופש אתה עובד? חשבתי שאתה יוצא לחופש... כמעט כל העמדות עם xp - עם sp2. אני ינסה את זה ואני יבדוק

 

[lirane1]

========>

ב member of this group אני מוסיף Domain Admins וב this group is member off אני מוסיף Administartors

 

[havlaz]

השאלה היא למה לכולם יש בכלל admin

על העמדה שלהם...

 

[lirane1]

כי אנשים לפני לא עשו מה שהיו צריכים

ועכשיו ביטול Administrator יגרום לקצת בעיות... השאלה למה זה עדיין לא עובד...

 

[Shani R]

אפשר גם לבטל ב-GPO

את הגישה ל-Computer Management בכלל, או לא Users and Groups בפרט. זה מה שעשו אצלנו ביחידה לתוכניתנים מתחכמים שהורידו לנו את ההרשאות. לשאר בכלל אין אדמין.

 

[טופי]

../images/Emo45.gif רעיון טוב

אבל אני עדיין חושב שהמשתמשים צריכים לדעת שהם לא נוגעים בהרשאות של מנהלי רשת.

 

[havlaz]

ושהם גם לא מדליפים מידע

מרמים בשעות העבודה, גולשים לאתרי סקס, חוגגים על שיחות טלפון ו...

 

[טופי]

ארגון צריך להגדיר

ושכל העובדים ידעו מה מותר ומה אסור. להדליף מידע : מותר (אם זה משרד יחסי ציבור) לרמות בשעות העבודה : מותר (אם מקבלים גלובלי, ואתה הבוס) גלישה לאתרי סקס: מותר (אם מדובר בחברת אבטחה ואתה בונה רשימת חסימות) לחגוג על שיחות טלפון: מותר (אם אתה נציג מכירות טלפוני) הכל מותר, רק תלוי באיזה ארגון אתה, התפקיד של מנהל הרשת צריך לבוא במצב של חריגה, ולא לתת לזה להיות נורמה עד שתנעל את זה.

 

[antidot]

ןמה ימנע מהם

לעשות את אותה פעולה לא דרך MMC ? לא חסר כלי שורת פקודה שישיגו אותה מטרה. יתרה מזאת, חלק ניכר ממפתחים צריכים הרשאות DEBUG על המכונה וזה שקול למעשה למתן Local Administrator. הגישה של restricted groups במקרה הזה די פרקטית.

 

[Shani R]

כמו שאמרתי, למתכנתים יש הרשאות

Local Admin, כל אחד על המחשב שלו. לכן אנחנו לא יכולים להחיל עליהם restricted groups (בשונה משאר מחשבי היחידה). הורדנו להם את הגישה ל- Local Users and Grops כדי להקטין את התופעה של הרשאות שנעלמות.

 

[antidot]

עשית סלט

תגדיר את זה כמו בתמונה כמו כן ראה שירשור דומה כאן: http://www.tapuz.co.il/tapuzforum/main/Viewmsg.asp?forum=956&msgid=48510793