1
내 Windows Vista 작업 컴퓨터는 도메인의 구성원입니다. 도메인 관리자는 매일 컴퓨터 관리자로 계속 추가 할 수있는 그룹 정책을 설정했습니다.그룹 정책을 통해 관리자 추가
어떻게 이런 일이 발생하지 않도록 할 수 있습니까? 저는 컴퓨터 관리자입니다.
A
답변
1
이들은 진지한 답변 :
- 분리 네트워크에서 사용자의 PC
- 도메인
당신은 그룹 정책을 변경할 수 없습니다에서 당신의 PC를 제거 :이 지역의 설정을 무시할 수 있습니다 또는 재정의되지 않는다. 도메인 관리자가 AD의 로컬 관리자보다 우선합니다
하지만 왜?
1
(유용한) 방법은 없습니다. 그러나 이것은 기술적 문제가 아니라 정책 문제 (전혀 문제가있는 경우)입니다. 관리자와 상사와 함께하십시오. 왜 그들에게 설명해야하는지 질문하십시오.
이 동작은 기본적으로 기본 정책입니다.
1
예, 가능합니다. 귀하의 처분에 여러 가지 방법이 있습니다. 몇 가지 아이디어 :
로컬 관리자를 삭제하십시오. 동일한 사용자 이름이지만 다른 암호를 사용하여 로컬 관리자를 추가하십시오. GPO 추가는 사용자가 이미 있으며 변경하지 않는다고 가정합니다.
사용자를 추가하는 데 필요한 몇 가지 키에 대한 액세스를 제거하려면 레지스트리 사용 권한을 업데이트하십시오. Mark Russinovich는 절차 on his blog을 설명합니다.
그룹 정책 개체가 캐시 된 디렉터리에서 NTFS 사용 권한을 편집하십시오.
결론 (이것은 물론, ...뿐만 아니라 로컬 관리자, 모든 GPO를 중단합니다) : 로컬 관리자로, 당신은 아무것도 할 수 있습니다. 그룹 정책이 작동하고 GPO가 로컬 사용자를 추가하려면 뭔가을 수행해야합니다. 그 어떤 부분을 해치면 해결책을 찾았습니다.
물론 은 일 수 있지만, 그렇다고해서 이 일 필요는 없습니다. 나는 IT 담당자 였고, 사용자들은이 일을 나에게했고, 그것은 자극적이다. 이는 정책상의 문제이며 기술적이지 않은 방법으로 처리해야합니다.
1
업무용 네트워크에 연결할 때마다 기업이 컴퓨터를 제어하는 방식이므로 네트워크 관리자와 이야기하는 것이 좋습니다.
0
- Regedit.exe를 엽니 다.다음 경로에
- 검색 -
HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\ - 이 값을 1로 설정
Restrict_Run에 포함 된 고유 키를 확장은
http://www.computerstepbystep.com/group_policy_windows_7.html
연결 해제 (편집 1을 입력 두 번 클릭하여 완료) 그룹 정책이 로컬로 캐시되기 때문에 도움이되지 않습니다. 도메인에서 제거하면 어쨌든 도메인 관리 권한이 필요하지만 ... 그래도 관리자 권한이 필요합니다 ^^ –
. Idon't는 그것을 모르고 있었다 (내가 시스템 관리자이었던 이래로 오랫동안 있었다). – gbn
@OskarDuveborn 도메인에서 그것을 삭제하는 것은 단지 로컬 관리 권한이 필요하다. 애플릿은 또한 Active Directory에서 컴퓨터 계정을 비활성화하려고 시도하지만이를 수행 할 수 없으면 제거가 실패하지 않습니다. – Neil