Права локального администратора для сотен ПК

419
Eleshar

Мне было поручено установить несколько сотен компьютеров для своих пользователей. Эта задача имеет 3 основных пункта:

1) Установка Windows 10 на каждый компьютер с USB-ключа.

2) Зайдите в Active Directory и добавьте несколько очень предсказуемых строк вручную на каждый компьютер в разделе редактора атрибутов.

3) Вход на каждый компьютер в качестве администратора домена и назначение его потенциального пользователя в качестве локального администратора (пользователь должен быть локальным администратором только на своем компьютере).

Есть ли более разумный способ выполнения пунктов 2) и 3) с помощью автоматизированных средств, например, массовой загрузки, групповой политики и т. Д.? Я не верю, что это нужно делать для каждого отдельного актива вручную.

0
в зависимости от версии сервера, 2; Powershell. 3; Вы можете использовать групповую политику здесь, чтобы назначить группу пользователей локальным администратором. это означает, что каждый пользователь в домене является локальным администратором на каждом компьютере. LPChip 7 лет назад 0
Рег. 3) безопасность требует, чтобы каждый пользователь был администратором только на своем ПК Eleshar 7 лет назад 0
Нет, тогда это становится ручной работой. Если компьютеры находятся в домене, вы можете использовать Управление компьютером и удаленно подключаться к каждому компьютеру, чтобы назначить пользователя, но это будет ручная работа. LPChip 7 лет назад 0
Интересно - пока ручная работа все еще, это все еще препятствовало бы тому, чтобы я физически держал каждый ПК, включал его, перезапускал, входил снова, выключал и затем снова сохранял ПК. Eleshar 7 лет назад 0
«Пользователь должен быть локальным администратором только на своей машине» - вы понимаете, это огромный риск для безопасности, верно? Это означает, что они могут отключить сетевой кабель, войти в систему как кешированная учетная запись в теории и изменить любую групповую политику, которую они хотят. Ramhound 7 лет назад 1
@Ramhound: для некоторых задач требуются права локального администратора. Обойти это невозможно, и у ОП нетрудно добиться этого. Если нет сложной блокировки на месте, пользователи могут также «взломать» встроенную учетную запись администратора или просто переустановить Windows. Daniel B 7 лет назад 0
@DanielB Очень немногие ежедневные задачи на самом деле требуют повышенных разрешений Ramhound 7 лет назад 1
@Ramhound Это не мне решать, и за всем этим стоит немало офисной политики. Я полностью защищал другое решение, но «это было невозможно», поэтому я отвечаю за развертывание, описанное выше. И я просто хочу знать, есть ли способ сделать это умнее, потому что в настоящее время у меня сложилось впечатление, что ответственная сторона либо лжет прямо (и при этом тратит ресурсы компании), либо крайне некомпетентна (и при этом тратит ресурсы компании) , Eleshar 7 лет назад 0

0 ответов на вопрос

Похожие вопросы