Как убрать права администратора у пользователей в домене?

Question

[usver5565]

всем доброго времени суток
На новом месте работы заметил такую вещь, которая вызвала у меня страх и ужас
У всех пользователей домены есть права администратора.
Т.е они могут вносить какие-то изменения в систему, устанавливать софт и т.д
В AD у них никаких прав админа нет, и они находятся в простой группе Пользователи, без сторонних прав во вкладке "члены групп"
Но как понять, куда рыть? Почему все махинации с ОС на своём ПК они могут делать без выскакивания таблички UAC?
Принцип такой, что учётная запись ранее создавалась так
Имя ПК --- оно же и имя уч. Записи.
P.s Работать пришёл в организацию недавно. Стараюсь потихоньку разгрести косяки прошлого руководителя отдела.

Comments

[oia]

смотри локальные группы на пк , они там в админах и включи контроль учетных записей

[usver5565]

oia, локальные группы на пк именно на каждом пк пользователя?
UAC работает, просто он не запрашивает права администратора домена. Вот что меня очень волнует

[usver5565]

oia, не могли бы вы по точнее подсказать куда рыть? ADшку на сервак я так понимаю в этом случае не трогать и нужно

[oia]

ну вот так открыли оснастку Пользователи и компьютеры Active Directory зашли в OU где пк и правой кнопкой управление ну и дальше смотрим локальные группы

spoiler

[usver5565]

oia, пока не проверял, но боюсь раздела organization unit там вообще нет..

[usver5565]

oia, вот в том то и дело, что простых узарей нет в админских учетках. Меня вот это и добивает :D они администраторы, но права в ad им никто не назначал всем и сразу умышленно) как это могло произойти? Не подскажете?
Недавно добавлял нового пользователя в домен, нормально, как положено, и все прошло успешно. Пользователь добавился и просил права на изменение в систему каких то изменений ( тестил )

[oia]

usver5565,сканируем сеть Advanced IP Scanner Portable с полем пользователь на пк , создаем OU переносим пк итд , но похоже что все могут работать вообще под локальными учетками , тогда надо будет на каждом пк заходить под учеткой домена для пользователя переносить все итд User Profile Wizard от компании Forensit https://www.forensit.com

[usver5565]

oia, спасибо за наводки, буду пытаться)

[hint000]

Стараюсь потихоньку разгрести косяки прошлого руководителя отдела.

Новая метла по-новому метёт. :)

[usver5565]

hint000, просто искренне не понимаю зачем так нужно было и почему все пользователи могут работать под админом..

[oia]

usver5565, систему поставили создали локального пользователя пк завели в домен а работать остались под локальной учеткой а там права админа локальные

[usver5565]

oia, нарыл такую инфу, что не должно было быть так имя пк=имя учетной записи. Так называемый автоадмин

[usver5565]

oia, вот именно, да, корень тут и лежит

[Alexey Dmitriev]

Рыть нужно в сторону получения знаний. Если у вас нет знаний, чтобы понять, как в вашей инфре найти ответы на простые в общем то вопросы, я бы не советовал вам ничего трогать. AD это не игрушки.
Для примера - нужно понимать разницу между domain/Administrators и builtin/Administrators.

[usver5565]

Спасибо. Я действительно не особо опытен, но учусь в силу возможностей) некоторые действия приходится делать аккуратно
Думаю все впереди)
На счёт администраторов домена и локальных админов намёк понял)
Буду разбираться)

[usver5565]

Alexey Dmitriev, Алексей, неё могли бы вы подсказать из-за чего так могло получиться?
Может ли это быть из-за того, что имя ПК = Имя учетной записи в AD? Что-то типа конфликта имен