News:

Одно из неприятных свойств нашего времени состоит в том, что те, кто испытывает уверенность, глупы, а те, кто обладает хоть каким-то воображением и пониманием, исполнены сомнений и нерешительности. Бертран Рассел

Main Menu

Автоматическое отключение локальных УЗ через GPO

Started by George, 28 April 2021, 15:02

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

George

Проблема: после заливки ПК из образа при первом включении запрашивается создание локальной УЗ. После ввода в домен техподдержка часто забывает выключить/удалить эту УЗ.

Задача: настроить автоматическое отключение локальных учётных записей
Ранее выполненные первостепенные задачи:
1) Отключение встроенного локального администратора с well known SID 500
2) Добавление созданной доменной группы для техподдержки в локальную группу Администраторов + удаление всех остальных из этой группы
3) Настроил автоматическую смену пароля у встроенного Администратора через утилиту от Microsoft: Local Administrator Password Solution

Решение: запуск скрипта при запуске компьютера

https://qa.social.technet.microsoft.com/Forums/en-US/4a796f1b-e9ce-41f0-816f-ea46fd7562f6/disable-all-local-user-via-gpo-except-local-administrator?forum=winserverGP

Создать тему решил потому, что на docs.microsoft.com скрипта для отключения всех локальных УЗ уже нет и мне пришлось искать уже через английский гугл этот скрипт.

Инструкция:
1) Кладём скрипт в общедоступную папку, куда могут достучаться все компьютеры
2) New GPO-> Computer Configuration-> Policies-> Windows Setting-> Scripts-> Startup и добавляем полный путь: \\fileserver\share\folder1\LocalAccountDisable.vbs

Нацеливаем GPO на OU с компьютерами и линкуем. На тестовом ПК запускам lusrmgr и смотрим на включённых пользователей и параллельно делаем gpupdate /force и ещё до окончания применения политики можно нажимать кнопку "Обновить" и наблюдать магию автоотключения всех локальных УЗ.

Важно! Я не знаю, отключает ли скрипт встроенного Администратора, т.к. его я отключил другим, более нативным, способом:
Computer Configuration->Preferences-> Control panel settings-> Local Users and Groups-> New-> Local user
Username: выбираем Administrator built-in
Ставим чекбокс: Account is disabled и Account never expires

Так же имеет смысл автоматически удалять из локальной группы администраторов на компьютерах всех, кроме заранее заданных доменных групп:

Computer Configuration->Preferences-> Control panel settings-> Local Users and Groups-> New-> Local group
Group name: Administrators (built-in)
Action: Update
Ставим самые важные галки: Delete all member user и Delete all member groups
Добавляем обязательно в поле чуть ниже группы Domain admins и, если есть группа для техподдержки, то её.

Резюмируя:
1) Автоотключение через скрипт всех локальных УЗ созданных техподдержкой;
2) Автоотключение встроенного Администратора;
3) Удаление из локальной группы Администраторы всех пользователей (доменные, локальные) и прописывание заранее созданных доменных групп;
4) Есть ещё утилита от Microsoft - Local Administrator Password Solution, которая может ещё и регулярно менять пароль локального администратора. См. гугл :)

Собственно применяя все 4 инструмента можно снизить вероятность неавторизованного доступа. А если шифровать жёсткие диски, то и возможность включить/создать администраторов через бутдиски а-ля Стрелец, ERD и прочие -Vasyan Edition.

Но важно понимать, что скрипт, который отключает все УЗ тянется из общей шары при включении АРМ. Если это ноутбук, то скрипт отрабатывать не будет, поэтому надо через GPO создать папку и так же через GPO скопировать в эту папку скрипт:
User configuration->
Preferences-> Windows Settings-> разделы Files и Folders