Oui, vous pouvez. Il y a plusieurs moyens à votre disposition. Quelques idées:
Supprimer leur administrateur local. Ajoutez votre propre administrateur local avec le même nom d'utilisateur mais un mot de passe différent. L'ajout GPO suppose que l'utilisateur est déjà présent et n'apporte aucun changement.
Mettez à jour les autorisations de registre pour supprimer l'accès à l'une des nombreuses clés requises pour ajouter un utilisateur. Mark Russinovich décrit les procédures on his blog.
Modifiez les autorisations NTFS sur le répertoire dans lequel les objets de stratégie de groupe sont mis en cache. (Cela, bien sûr, se brisera tous GPOs, pas seulement l'administrateur local ...)
ligne de fond: comme administrateur local, vous pouvez faire quoi que ce soit . Pour que la stratégie de groupe fonctionne et que le GPO ajoute un utilisateur local, il doit faire quelque chose. Briser une partie de ce quelque chose et vous avez trouvé votre solution.
Bien sûr, juste parce que vous peut, mais cela ne signifie pas que vous devriez . J'étais un informaticien, les utilisateurs m'ont fait ça, et c'est énervant. C'est une question de politique et devrait être traitée par des moyens non techniques.
Disconnecting ne va pas aider car les stratégies de groupe sont mises en cache localement, et le retirer du domaine nécessite des privilèges d'administration de domaine de toute façon ... mais oui, c'est tout - mais il aurait besoin de la coopération des administrateurs ^^ –
he he. Je ne le savais pas (cela fait un moment que j'étais un administrateur système) – gbn
@OskarDuveborn Le supprimer du domaine requiert uniquement des privilèges d'administrateur local. L'applet tente également de désactiver le compte d'ordinateur dans Active Directory, mais la suppression n'échoue pas si elle ne peut pas le faire. – Neil