Удаление учеток из группы Администраторы

Приветствую. СБ Поставило задачу убрать всех пользователей из группы Администраторы. НО необходимо оставить две доменные группы domain.ru\domain admis и domain.ru\remout. Сам додумался только до:
Естественно это не сработало...

0

Почему не сработало-то?.. странно - Вы-же удаляете локальные группы, которые имеют имена пользователей содержащихся в локальной группе Администраторы - должно работать. Вы делали это в полночь? Говорят в полночь чертовщина нередко творится..
Нужно пользователей из групп.. или группы удалить?
Группы удаляются так - net localgroup Administrators /delete - всё правильно
Пользователи из групп так - net localgroup Administrators Admin /delete

0

Нужно удалить всех пользователей из ЛОКАЛЬНОЙ группы Администраторы, но при этом оставить две ДОМЕННЫЕ группы. Поэтому вопрос как правильно подставить в "net localgroup Administrators Admin /delete" вместо "Admin" - подставить учетки которые прописаны в группе Администраторы.

0

Попробуйте использовать GPO, там всё это без скриптов делается.
Конфигурация Windows => Параметры безопасности => Группы с ограниченным доступом

Добавлено через 6 минут
Выбираете группу, говорите, кто должен быть её членом, членом каких групп должна быть эта группа (в вашем случае этот параметр не актуален). Встроенного локального админа можно не указывать, его всё равно не убрать из локальной группы админов.
Всех повыкидывает автоматом.

0

Насчет GPO вкурсе, но репрессии СБ не на все отделы распространяются, а у нас в AD все в одну уюшку скидано . Поэтому через GPO придется долго делить, на кого применять политику а на кого нет. Думал скриптом быстрее будет... но видимо я ошибался . В любом случае спасибо.

0

Сообщение от yagami2 Думал скриптом быстрее будет...

Естественно. Только для этого нужно заглянуть в Powershell. Там есть такие штуки как Get-ADUser, Get-ADGroup, Remove-ADPrincipalGroupMembership, Remove-ADGroupMember и т.д.

1

Сообщение от yagami2 Насчет GPO вкурсе, но репрессии СБ не на все отделы распространяются

А как на счёт того чтобы подкинуть идею СБ репрессировать все отделы? Не гоже холопам барские права иметь!
А кому нужно, пусть отдельно обосновывают СБ, но только им не отменять текущую политику, а кинуть в подOUшку и добавить ещё одну политику

Сообщение от yagami2 а у нас в AD все в одну уюшку скидано . Поэтому через GPO придется долго делить

Простите, а как вы хотели его распространять? ручками запускать? а смысл? через 5 минут ушлый пользователь себя снова закинет в админы
Не важно полностью средствами GPO или скриптом, скрипт также по GPO следует раздавать.

Сообщение от Garry Galler Сообщение от yagami2 Думал скриптом быстрее будет... Естественно.

Единственный плюс скрипта — это то, что после отмены политики всё останется как есть, а не вернётся так, как было до политики (в отличии от решения полностью на GPO), а дальше только минусы.
Написать корректный скрипт сложнее чем настроить средствами GPO, любая ошибка или помарка в скрипте и задача выполнятся не будет. А если использовать PowerShell, так ещё дополнительные подводные камни: при разработке скрипта на Win10 он может не работать на Win7, или если на ПК где разрабатывался скрипт стоит админка он может не работать на остальных ПК (если использовать Get-ADUser, Get-ADGroup, Remove-ADPrincipalGroupMembership, Remove-ADGroupMember и т.д.).
Я это всё к чему: "Зачем изобретать велосипед?" тем более кривой. Есть готовое решение (GPO) используйте его.

1

Среди "холопов" и программисты, а им админские права нужны. Да и у многих боссов админские права никто забирать не даст...

Распространять думал с помощью psexec. Список компов в текстовый файл и вперед. Но в общем подумав немного тоже пришел к выводу, что надо через GPO это делать.

Локального админа не отключаем на случай если ПК связь с доменом потеряет. Но переименовываем+заблочили ему сетевой доступ (т.е. авторизоваться по сети с его помощью нельзя).

В общем всем спасибо за советы, буду действовать через GPO.

0

Сообщение от yagami2 Локального админа не отключаем на случай если ПК связь с доменом потеряет.

На ваш выбор, я по своей практике отключаю без лишнего наворота. Если такой ПК каким-то чудом выпадает из домена, то тут два варианта: или сломать (использую установочную флешку; 5-15 мин), или по WDS переставить винду (если очень лениво и/или нет локального доступа, т.к. делают пользователи; требуется время на настройку и обкатку решения)

0