Mon ordinateur de travail Windows Vista est membre d'un domaine. Les administrateurs de domaine ont mis en place une stratégie de groupe qui ne cesse de les ajouter en tant qu'administrateurs de mon ordinateur chaque nuit.Ajout d'administrateurs via la stratégie de groupe
Y a-t-il un moyen de prévenir cela? Je suis un administrateur sur l'ordinateur.
Ce sont des réponses sérieuses:
Vous ne pouvez pas modifier la stratégie de groupe: il peut remplacer les paramètres locaux ou ne pas être annulé. Les administrateurs de domaine prennent en charge les administrateurs locaux en AD
Mais pourquoi?
Il n'y a pas de manière (utile). Ce n'est cependant pas un problème technique mais un problème de politique (si c'est un problème). Prenez-le avec vos administrateurs et votre patron. Demandez-leur pourquoi et ils devraient expliquer.
Ce comportement est une politique par défaut d'ailleurs.
Oui, vous pouvez. Il y a plusieurs moyens à votre disposition. Quelques idées:
Supprimer leur administrateur local. Ajoutez votre propre administrateur local avec le même nom d'utilisateur mais un mot de passe différent. L'ajout GPO suppose que l'utilisateur est déjà présent et n'apporte aucun changement.
Mettez à jour les autorisations de registre pour supprimer l'accès à l'une des nombreuses clés requises pour ajouter un utilisateur. Mark Russinovich décrit les procédures on his blog.
Modifiez les autorisations NTFS sur le répertoire dans lequel les objets de stratégie de groupe sont mis en cache. (Cela, bien sûr, se brisera tous GPOs, pas seulement l'administrateur local ...)
ligne de fond: comme administrateur local, vous pouvez faire quoi que ce soit . Pour que la stratégie de groupe fonctionne et que le GPO ajoute un utilisateur local, il doit faire quelque chose. Briser une partie de ce quelque chose et vous avez trouvé votre solution.
Bien sûr, juste parce que vous peut, mais cela ne signifie pas que vous devriez . J'étais un informaticien, les utilisateurs m'ont fait ça, et c'est énervant. C'est une question de politique et devrait être traitée par des moyens non techniques.
Chaque fois que vous vous connectez à votre réseau de travail, cela se produit, c'est la façon dont les entreprises contrôlent leurs ordinateurs, je recommande de parler à un administrateur réseau.
HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\Restrict_Run à la valeur 1 (fait en double-cliquant pour modifier et en tapant 1)http://www.computerstepbystep.com/group_policy_windows_7.html
Disconnecting ne va pas aider car les stratégies de groupe sont mises en cache localement, et le retirer du domaine nécessite des privilèges d'administration de domaine de toute façon ... mais oui, c'est tout - mais il aurait besoin de la coopération des administrateurs ^^ –
he he. Je ne le savais pas (cela fait un moment que j'étais un administrateur système) – gbn
@OskarDuveborn Le supprimer du domaine requiert uniquement des privilèges d'administrateur local. L'applet tente également de désactiver le compte d'ordinateur dans Active Directory, mais la suppression n'échoue pas si elle ne peut pas le faire. – Neil