Что делать с локальной учетной записью пользователя при вводе в домен?

Question

[Capitollium]

Начал изучать Active Directory.
И кое-что не понимаю)
1) При вводе компьютера в домен на нем будет две учетные записи, локальная и доменная.
Так какой толк в групповых политиках доменной учётки, если пользователь без проблем может зайти на локальную учетную запись с правами админа и творить что захочет?! Что делать со встроенной учетной записью тогда? Ставить пароль?
2) Если пользователь работал в локальной учетной записи, имел свое расположение ярлыков, настройки, обои и т.д , то при вводе компьютера в домен у него будет чистый рабочий стол. Как перенести все данные и настройки пользователя в домен?

UPD:
Посоветуйте хорошие книги и курсы по AD. Что не смотрю, все только о том как установить ad, создать лес,
ввести компьютер в домен. И все. А дальше то что?
Спасибо)

Comments

[Дмитрий Шумов]

Можно еще воспользоваться утилитой: www.forensit.com/downloads.html

[Capitollium]

Дмитрий Шумов, то что надо, спасибо большое!

Answer 1

[Максим Гришин]

1) Политики домена (computer policy) перекрывают настройки, сделанные локальным админом. Если комп при загрузке снюхался с DC, он с него подтаскивает политики и применяет их, после чего часть политик и настроек становятся недоступными для локального админа (какие настроишь в домене, те и будут заблокированы).
2) Скопировать каталог профиля локального пользователя в каталог, созданный при входе доменного пользователя, не забыв настроить права и владение.
UPD: А дальше жизнь, которая настолько разная у каждого домена, что в книгу не затолкать. DC выполняют роль центра хранения учетных данных и единой точки доверия для всего домена, а зачем тебе понадобился домен - разнится от "потестить" до "развернуть систему аутентификации для всего мира" ака Azure.

Comments

[Capitollium]

1) Тогда локальная и доменная учетная запись будут одинаковые? Нету разницы в какую входить?
2) Как это сделать? Научите плз)

[Capitollium]

Вот допустим я в ГП запретил менять настройки сетевого адаптера, и когда захожу в имя_домена\имя_пользователя_домена - запрет есть, просит ввести пароль администратора, а когда захожу только в компьютер, а не в домен, asus\локальное имя ползователя, то у меня есть все права на настройки сет.адаптера.

[Максим Гришин]

Capitollium, про второе - политики бывают двух видов, компьютерные и пользовательские. Компьютерные влияют на локальных пользователей, пользовательские - только на тех доменных пользователей, которые под них попадают.
Каталог просто копируется в соседний, полную процедуру можно найти скажем тут https://community.spiceworks.com/topic/1893984-how... после копирования нужно выставить владельца на каталог и права ему на full control, иначе винды будут материться вплоть до объявления профиля сломанным с откатом сделанного.
А учетки все равно будут разные - доменная хороша тем, что ей можно выдать какие-то разрешения, и будет неважно, с какого угла домена она попытается ими воспользоваться, сработают. Локальная учетка во-первых привязана к одному ПК, во-вторых, недоступна при работе по сети. Ну и вообще стоит почитать что-нибудь про то, для чего нужен AD, меня по факту учили на практике с эникея и в то время, когда подобные книги были редкостью, поэтому не особо-то были нужны позже.

[Capitollium]

Максим Гришин, спасибо, начинает доходить))
И еще один вопрос пожалуйста, почему при входе в учетную запись с разных компьютеров не сохраняется рабочий стол и настройки, как мне получить доступ к своему рабочему столу, с разных компьютеров?

[Максим Гришин]

А это называется roaming profile, плюс не на всех ПК в домене обязательно стоит одинаковое ПО - часть ярлыков обязательно поломается. Roaming profile нужно отдельно настраивать.

[Capitollium]

Максим Гришин, большое спасибо, Максим)

Answer 2

[Alexey Dmitriev]

Локальные записи при вводе в домен нужно удалить.
Для встроенного локального Administrator есть LAPS
https://www.microsoft.com/en-us/download/details.a...

Comments

[insane82]

так а что толку с этого? ну удалю я с компа все локальные учётки. пользователь загрузится с флешки и за пол минуты создаст себе локального пользователя с правами локального админа. потом с выдернутым сетевым шнуром зайдёт под ним - и поставит что угодно на комп с полными правами.
есть какой-то способ полностью заблокировать саму ВОЗМОЖНОСТЬ использовать локальные учётки на компе?

[Alexey Dmitriev]

insane82, вопрос загрузки с флешки решается другими способами.

[insane82]

Alexey Dmitriev, тем не менее, изначально вопрос стоит именно про запрет использования локальных учёток. и с самого начала вопрос стоит самым правильным образом - какой смысл от доменных запретов, если пользователь может зайти под локальным админом и сделать что угодно на компе? ))
удалять/меня пароль на локальных учётках - это защита от самого глупого и ленивого идиота, который не умеет пользоваться поисковиком. 99.9% юзеров при желании загуглят и с флешки создадут себе локального админа за минуту. потом с отключенным сетевым кабелем зайдут под ним и сделают что им нужно.
блочить загрузку с флешки - это как? вот у меня клиент, у него 100 машин на самых обычных домашних материнках. как ты им заблочишь загрузку с флешки? пароль на биос поставишь? )) ну так они его сбросят на 5 секунд.
вопрос именно в том - каким образом полностью отключить саму возможность использовать на компе локальные учётки?

[Alexey Dmitriev]

Например, запретить загрузку с носителей и запаролить Биос и удалить локальные записи через GPO

[insane82]

Alexey Dmitriev, пароль на биос сбрасывается за 10 секунд батарейкой, либо джампером. локальная учётка с флешки создаётся на компе за пол минуты. это вообще не варианты по данному вопросу.

[Alexey Dmitriev]

insane82, вы до сих пор живете в 90х? В компаниях довольно давно уже многие вопросы регламентируются документами и это работает.

[insane82]

Alexey Dmitriev, а что толку с этих документов? ну подпишет сотрудник бумажку. а потом наделает дел и покроется. ответственность никаким образом не решает проблемы безопасности.