Что делать с локальной учетной записью пользователя при вводе в домен?
Начал изучать Active Directory.
И кое-что не понимаю)
1) При вводе компьютера в домен на нем будет две учетные записи, локальная и доменная.
Так какой толк в групповых политиках доменной учётки, если пользователь без проблем может зайти на локальную учетную запись с правами админа и творить что захочет?! Что делать со встроенной учетной записью тогда? Ставить пароль?
2) Если пользователь работал в локальной учетной записи, имел свое расположение ярлыков, настройки, обои и т.д , то при вводе компьютера в домен у него будет чистый рабочий стол. Как перенести все данные и настройки пользователя в домен?
UPD:
Посоветуйте хорошие книги и курсы по AD. Что не смотрю, все только о том как установить ad, создать лес,
ввести компьютер в домен. И все. А дальше то что?
Спасибо)
1) Политики домена (computer policy) перекрывают настройки, сделанные локальным админом. Если комп при загрузке снюхался с DC, он с него подтаскивает политики и применяет их, после чего часть политик и настроек становятся недоступными для локального админа (какие настроишь в домене, те и будут заблокированы).
2) Скопировать каталог профиля локального пользователя в каталог, созданный при входе доменного пользователя, не забыв настроить права и владение.
UPD: А дальше жизнь, которая настолько разная у каждого домена, что в книгу не затолкать. DC выполняют роль центра хранения учетных данных и единой точки доверия для всего домена, а зачем тебе понадобился домен - разнится от "потестить" до "развернуть систему аутентификации для всего мира" ака Azure.
Вот допустим я в ГП запретил менять настройки сетевого адаптера, и когда захожу в имя_домена\имя_пользователя_домена - запрет есть, просит ввести пароль администратора, а когда захожу только в компьютер, а не в домен, asus\локальное имя ползователя, то у меня есть все права на настройки сет.адаптера.
Capitollium, про второе - политики бывают двух видов, компьютерные и пользовательские. Компьютерные влияют на локальных пользователей, пользовательские - только на тех доменных пользователей, которые под них попадают.
Каталог просто копируется в соседний, полную процедуру можно найти скажем тут https://community.spiceworks.com/topic/1893984-how... после копирования нужно выставить владельца на каталог и права ему на full control, иначе винды будут материться вплоть до объявления профиля сломанным с откатом сделанного.
А учетки все равно будут разные - доменная хороша тем, что ей можно выдать какие-то разрешения, и будет неважно, с какого угла домена она попытается ими воспользоваться, сработают. Локальная учетка во-первых привязана к одному ПК, во-вторых, недоступна при работе по сети. Ну и вообще стоит почитать что-нибудь про то, для чего нужен AD, меня по факту учили на практике с эникея и в то время, когда подобные книги были редкостью, поэтому не особо-то были нужны позже.
Максим Гришин, спасибо, начинает доходить))
И еще один вопрос пожалуйста, почему при входе в учетную запись с разных компьютеров не сохраняется рабочий стол и настройки, как мне получить доступ к своему рабочему столу, с разных компьютеров?
А это называется roaming profile, плюс не на всех ПК в домене обязательно стоит одинаковое ПО - часть ярлыков обязательно поломается. Roaming profile нужно отдельно настраивать.
так а что толку с этого? ну удалю я с компа все локальные учётки. пользователь загрузится с флешки и за пол минуты создаст себе локального пользователя с правами локального админа. потом с выдернутым сетевым шнуром зайдёт под ним - и поставит что угодно на комп с полными правами.
есть какой-то способ полностью заблокировать саму ВОЗМОЖНОСТЬ использовать локальные учётки на компе?
Alexey Dmitriev, тем не менее, изначально вопрос стоит именно про запрет использования локальных учёток. и с самого начала вопрос стоит самым правильным образом - какой смысл от доменных запретов, если пользователь может зайти под локальным админом и сделать что угодно на компе? ))
удалять/меня пароль на локальных учётках - это защита от самого глупого и ленивого идиота, который не умеет пользоваться поисковиком. 99.9% юзеров при желании загуглят и с флешки создадут себе локального админа за минуту. потом с отключенным сетевым кабелем зайдут под ним и сделают что им нужно.
блочить загрузку с флешки - это как? вот у меня клиент, у него 100 машин на самых обычных домашних материнках. как ты им заблочишь загрузку с флешки? пароль на биос поставишь? )) ну так они его сбросят на 5 секунд.
вопрос именно в том - каким образом полностью отключить саму возможность использовать на компе локальные учётки?
Alexey Dmitriev, пароль на биос сбрасывается за 10 секунд батарейкой, либо джампером. локальная учётка с флешки создаётся на компе за пол минуты. это вообще не варианты по данному вопросу.
Alexey Dmitriev, а что толку с этих документов? ну подпишет сотрудник бумажку. а потом наделает дел и покроется. ответственность никаким образом не решает проблемы безопасности.