Почему пользователь остается локальным администратором при добавление в AD?

Question

[Zanuda28]

Есть тестовый пользователь, он является администратором на своем пк. Я используя User Profile Wizard добавляю его в домен и привязываю к созданному там пользователю (без прав админа). С виду все ок, но когда я логинюсь под этим пользователем, вижу что он в домене, но и так же является локальным администратором этого пк.
Вопрос. Я что то недонастроил/сделал не так или все ок и его просто надо руками убрать из локальных админов?

Answer 1

[Сергей Тарасов]

User Profile Wizard

потому что это костыль для ленивых, переводи нормально в домен, с полной переустановкой и настройкой с нуля. Да, это дольше, но зато это соответствует Бусидо/Феншую и прочим best practices. В идеале сотруднику новый комп готовишь, потом домен, потом все GPO, потом настраиваешь под юзера, приглашаешь, он приходит осматривает, часик работает говорит "всё ок" - и меняешь компы местами. Я так бухов десять человек перенёс, зато все счастливы, и проблем не возникнет из-за этого костыля, на котором всё это балансирует

Comments

[Zanuda28]

Можешь сказать чем использование User Profile Wizard чревато? Просто у меня почти 200 рабочих мест. Переводить методом подготовки с нуля, очень долго.

[Сергей Тарасов]

Zanuda28,
1) пользователь не переименовывается (в смысле пути), как был в C:\Users\someuser, так там и остался
2) группы, вручную надо удалять из локальных админов, собственно это у тебя в вопросе
3) вытекающие из п.1 проблемы (применение GPO, например переносимые профили, политики безопасности антивирусов туда же)
ещё что-то было, я в 19/20м году с этой софтиной столкнулся, а точнее коллега нескольких бухов перевёл, сейчас уже не вспомню. Да выглядит круто, "тяп-ляп и в продакшн", но потом мне всё равно пришлось их вручную переносить на новые компы.

Может ещё какие проблемы есть, люди подскажут, может что-то разрабы пофиксили, я с тех пор не следил за её развитием, если оно и было

[Сергей Тарасов]

Zanuda28, обсуди с коллегами/руководством, взвесьте все за и против, не один же ты на 200 человек, что-то можно автоматизировать с помощью ansible на крайняк

[Роман Безруков]

Zanuda28, ничем не чревато - инструмент же не дураки писали...проверено годами использования в разных организациях и с разными пользователями (от бухов до разрабов/ДБА/QA и т.д.)...
все остальные настройки - через GPO, скриптами WMI/PowerShell и т.д.

[Zanuda28]

Так, в целом я понял, спасибо.
Кстати, а по поводу User State Migration Tool (USMT), что скажете?

[Сергей Тарасов]

Zanuda28, я про такую не слышал, может Роман Безруков подскажет

[Роман Безруков]

Zanuda28, а что вы хотите услышать? есть такой инструмент, вашу задачу он решит...какие при этом будут затраты с вашей стороны - неизвестно. возможно, он будет для вас неудобен, или потребуется дополнительное время на изучение его возможностей, или еще какая причина...
например, переделайте одну учетку с помощью User Profile Wizard, вторую - с помощью USMT, третью - вручную...сравните затраченное время, удобство и т.д.

[Zanuda28]

Роман Безруков хотел услышать целесообразность, так как у вас явно существенно больше опыта в подобных задачах. Я попробовал оба варианта. С USMT дольше и менее качественно для конечного пользователя (слетают обои, расположение ярлыков итд). Поэтому если с User Profile Wizard меня не ожидают подводные камни и сюрпризы, то выбор очевиден.

[Роман Безруков]

Zanuda28, целесообразно использовать тот инструмент, который решает вашу задачу с минимальными издержками...
Я, возможно, отдам предпочтение USMT, но это вовсе не значит, что в вашем случае этот инструмент будет лучшим выбором.
Вы строите доменную структуру, а это среда, в которой действуют определенные правила игры, соответственно, обои, расположение ярлыков и т.д - имхо, второстепенны.

Answer 2

[MVV]

Похоже, тут требуются разъяснение:
пользователь (системная сущность, которая имеет логин с паролем, членство в группах и привилегии в системе) и профиль пользователя (набор связанных - с пользователем папок и файлов, включая дополнительные файлы реестра) - это разные вещи. А локальный пользователь и пользователь из домена - это разные пользователи.
От того, что вы назначили с помощью User Profile Wizard доменному пользователю тот же профиль (т.е. набор файлов), что и локальному, локальный пользователь, со всеми своими правами, никуда не делся. Если он вам больше не нужен - просто отключите его (в консоли Управление компьютером). А чтобы доменный пользователь мог войти на компьютер локально при отсутсвии связи с контроллерами домена (если это требуется) - не запрещайте (по умолчанию оно разрешено) кэширование учетных данных в групповой политике домена, действующей на этот компьютер и зайдите хотя бы раз под этим пользователем на этот компьютер.

Answer 3

[Роман Безруков]

Я что то недонастроил/сделал не так или все ок и его просто надо руками убрать из локальных админов?

по-хорошему, нужна групповая политика, которая на доменных ПК определяет состав локальной группы "Администраторы" - тогда ничего руками делать не надо...