xabim Asked: 2009-07-10 02:15:57 +0800 CST2009-07-10 02:15:57 +0800 CST 2009-07-10 02:15:57 +0800 CST 如何删除本地管理员权限? 772 我想在我的域的机器中禁用本地管理员的权限,这可能吗?,并且只将管理权限授予域管理员。我想用组策略来做到这一点。 主要是我想禁用用户安装/卸载程序的权限,尽管他们是他们机器的本地管理员。 windows group-policy permissions 6 个回答 Voted Best Answer Tubs 2009-07-10T02:57:19+08:002009-07-10T02:57:19+08:00 将用户从“本地管理员”组中移除。 手动过程是转到计算机,开始 > rc my computer,然后“管理计算机”。选择“本地用户和组”,“组”,然后双击管理员。从该组中删除用户。 可能最好不要将域管理员从该组中取出,如果您禁用本地管理员组执行任何操作,您可能会遇到其他问题。 您可能会发现很多事情对用户来说将停止工作,因此如果他们做了任何奇怪而美妙的事情,Power Users 可能是他们去的最佳场所。 如果您想通过组策略执行此操作,我认为您会考虑编写脚本,然后将其作为启动脚本运行。 然后,您的脚本将使用“net localgroup administrators naughtyusers /delete” pipTheGeek 2009-07-10T04:13:57+08:002009-07-10T04:13:57+08:00 正如@Tubs 所说,不要试图削弱本地管理员组。只是不要将您的最终用户放在该组中。高级用户将授予他们执行管理员可以执行的几乎所有操作的权限,但不会更改系统范围的配置。尽管他们确实拥有对注册表的修改权限,所以给定时间和一个 reg 文件,但我看不出有任何他们无法更改的设置。 组策略可以直接控制本地组的成员资格。我目前没有可用的管理工具,但它类似于“受限组”。您在此处指定的将成为该组的完整成员身份,您不能指示组策略更改本地组的成员身份,只能将成员身份完全替换为您指定的列表,因此请记住将域管理员包含在管理员组中. Hank 2009-07-10T04:25:18+08:002009-07-10T04:25:18+08:00 我没有足够的代表评论@pipTheGeek,但 GP 中的路径是计算机配置\Windows 设置\安全设置\受限组。 John Rennie 2009-07-10T02:25:33+08:002009-07-10T02:25:33+08:00 没有一种简单的方法可以拒绝本地管理员安装软件的权利。您可以更改 C:\Program Files 和各种注册表项的权限,但当然,作为本地管理员,用户有权将权限更改回来。 做到这一点的唯一好方法是创建一个新组,为您的用户提供所需的权限,并将用户排除在本地管理员组之外。 或者,使用某种形式的审核来发现他们何时安装了不应该安装的任何东西。 当间谍软件如此盛行时,这是一个大问题,但大多数现代 AV 都非常擅长阻止间谍软件安装。 JR SAV1 2009-07-10T05:02:10+08:002009-07-10T05:02:10+08:00 简单的 CMD 命令:NET LOCALGROUP 管理员 [用户名] /delete August 2009-07-10T10:12:43+08:002009-07-10T10:12:43+08:00 如果您使用的是 Win2008 组策略扩展,则有一种方法可以修改本地管理员组,而不是像受限组策略那样完全覆盖它。 看看这篇文章: http: //www.windowsecurity.com/articles/Securing-Local-Administrators-Group-Every-Desktop.html
将用户从“本地管理员”组中移除。
手动过程是转到计算机,开始 > rc my computer,然后“管理计算机”。选择“本地用户和组”,“组”,然后双击管理员。从该组中删除用户。
可能最好不要将域管理员从该组中取出,如果您禁用本地管理员组执行任何操作,您可能会遇到其他问题。
您可能会发现很多事情对用户来说将停止工作,因此如果他们做了任何奇怪而美妙的事情,Power Users 可能是他们去的最佳场所。
如果您想通过组策略执行此操作,我认为您会考虑编写脚本,然后将其作为启动脚本运行。
然后,您的脚本将使用“net localgroup administrators naughtyusers /delete”
正如@Tubs 所说,不要试图削弱本地管理员组。只是不要将您的最终用户放在该组中。高级用户将授予他们执行管理员可以执行的几乎所有操作的权限,但不会更改系统范围的配置。尽管他们确实拥有对注册表的修改权限,所以给定时间和一个 reg 文件,但我看不出有任何他们无法更改的设置。
组策略可以直接控制本地组的成员资格。我目前没有可用的管理工具,但它类似于“受限组”。您在此处指定的将成为该组的完整成员身份,您不能指示组策略更改本地组的成员身份,只能将成员身份完全替换为您指定的列表,因此请记住将域管理员包含在管理员组中.
我没有足够的代表评论@pipTheGeek,但 GP 中的路径是计算机配置\Windows 设置\安全设置\受限组。
没有一种简单的方法可以拒绝本地管理员安装软件的权利。您可以更改 C:\Program Files 和各种注册表项的权限,但当然,作为本地管理员,用户有权将权限更改回来。
做到这一点的唯一好方法是创建一个新组,为您的用户提供所需的权限,并将用户排除在本地管理员组之外。
或者,使用某种形式的审核来发现他们何时安装了不应该安装的任何东西。
当间谍软件如此盛行时,这是一个大问题,但大多数现代 AV 都非常擅长阻止间谍软件安装。
JR
简单的 CMD 命令:NET LOCALGROUP 管理员 [用户名] /delete
如果您使用的是 Win2008 组策略扩展,则有一种方法可以修改本地管理员组,而不是像受限组策略那样完全覆盖它。
看看这篇文章: http: //www.windowsecurity.com/articles/Securing-Local-Administrators-Group-Every-Desktop.html