@Zanuda28

Почему пользователь остается локальным администратором при добавление в AD?

Есть тестовый пользователь, он является администратором на своем пк. Я используя User Profile Wizard добавляю его в домен и привязываю к созданному там пользователю (без прав админа). С виду все ок, но когда я логинюсь под этим пользователем, вижу что он в домене, но и так же является локальным администратором этого пк.
Вопрос. Я что то недонастроил/сделал не так или все ок и его просто надо руками убрать из локальных админов?
  • Вопрос задан
  • 142 просмотра
Пригласить эксперта
Ответы на вопрос 3
@tarasovc47
Эникей со стажем))
User Profile Wizard
потому что это костыль для ленивых, переводи нормально в домен, с полной переустановкой и настройкой с нуля. Да, это дольше, но зато это соответствует Бусидо/Феншую и прочим best practices. В идеале сотруднику новый комп готовишь, потом домен, потом все GPO, потом настраиваешь под юзера, приглашаешь, он приходит осматривает, часик работает говорит "всё ок" - и меняешь компы местами. Я так бухов десять человек перенёс, зато все счастливы, и проблем не возникнет из-за этого костыля, на котором всё это балансирует
Ответ написан
@mvv-rus
Настоящий админ AD и ненастоящий программист
Похоже, тут требуются разъяснение:
пользователь (системная сущность, которая имеет логин с паролем, членство в группах и привилегии в системе) и профиль пользователя (набор связанных - с пользователем папок и файлов, включая дополнительные файлы реестра) - это разные вещи. А локальный пользователь и пользователь из домена - это разные пользователи.
От того, что вы назначили с помощью User Profile Wizard доменному пользователю тот же профиль (т.е. набор файлов), что и локальному, локальный пользователь, со всеми своими правами, никуда не делся. Если он вам больше не нужен - просто отключите его (в консоли Управление компьютером). А чтобы доменный пользователь мог войти на компьютер локально при отсутсвии связи с контроллерами домена (если это требуется) - не запрещайте (по умолчанию оно разрешено) кэширование учетных данных в групповой политике домена, действующей на этот компьютер и зайдите хотя бы раз под этим пользователем на этот компьютер.
Ответ написан
Комментировать
@NortheR73
системный инженер
Я что то недонастроил/сделал не так или все ок и его просто надо руками убрать из локальных админов?
по-хорошему, нужна групповая политика, которая на доменных ПК определяет состав локальной группы "Администраторы" - тогда ничего руками делать не надо...
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы