Как удалить пользователей из группы администраторов без Active Directory?

Question

Как удалить пользователей из группы администраторов без Active Directory?

Контекст: я новый младший системный администратор, и я унаследовал небольшую офисную рабочую группу из примерно 12 машин Windows, производственных и резервных файловых серверов и сервера SQL. Все учетные записи пользователей на файловом сервере являются членами группы администраторов. Я понимаю, что это создает уязвимость. Кроме того, руководство хотело бы, чтобы определенные каталоги на файловом сервере были недоступны обычным пользователям.

Как я могу удалить своих пользователей из группы "Администраторы" и разделить их на два уровня обычных учетных записей, чтобы избежать неудобств, простоев производства и т. Д.?

Я все для автоматизации, если это возможно, поэтому я не боюсь сценариев в файлах.bat или powershell, хотя мой powershell ржавый и мой сценарий.bat хакерский.

6

windows windows-server-2003 workgroup

Источник

lutze 11 фев '14 в 21:25

2 ответа

Решение

Вы можете получить список пользователей, которые в данный момент находятся в группе администраторов:

net localgroup administrators > userlist.txt

Затем вы можете разделить пользователей из этого вывода на списки tier1 и tier2 и прокрутить списки.

$tier1file="c:\path\to\tier1users.txt" 
$tier2file="c:\path\to\tier2users.txt"

foreach ($user in get-content $tier1file)
{
    net localgroup administrators $user /del
    net localgroup tier1 $user /add
}

foreach ($user in get-content $tier2file)
{
    net localgroup administrators $user /del
    net localgroup tier2 $user /add
}

Или что-то типа того.

Если бы все машины были настроены одинаково, вы, вероятно, могли бы стать более изящными, но машины без AD часто не идентичны.

7

Источник

Katherine Villyard 11 фев '14 в 21:42

Другие вопросы по тегам windows windows-server-2003 workgroup

HopelessN00b 11 фев '14 в 21:44 2014-02-11 21:44 · Accepted Answer · 2014-02-11 21:44

Вы должны настроить домен.

Шутки в сторону. Я не хотел бы управлять 3 компьютерами Windows без домена (Active Directory), не говоря уже о двенадцати.
Если руководство хочет ограничить уровни доступа для определенных каталогов, единственный способ сделать это управляемым способом - это использовать Active Directory, даже для "только 12" компьютеров / пользователей.
Лучший вариант для вас лично. "Управляемая куча компьютеров рабочей группы" - это довольно хреновая строка в резюме. "Создание, настройка и управление новым доменом каталогов Windows Active для [компании]", напротив, является довольно хорошим элементом в резюме.

Предполагая, что вы не можете настроить домен (и Server 2003), я бы предпочел psexec, который является частью SysInternals Suite для выполнения удаленных подключений, а затем команды NET USER и NET GROUP для фактического добавления. Это позволит вам вносить изменения, не сбивая людей с их компьютеров, как показано ниже.

Загрузите пакет SysInternals.
Откройте командную строку (cmd.exe)
Подключитесь к компьютеру, на котором вы хотите внести изменения
- psexec \\thecomputeryouwanttomakechangeson\ cmd
Выполните команду NET USER или NET GROUP по желанию.
- NET LOCALGROUP Administrators someuser /ADD
- NET LOCALGROUP Administrators someotheruser /DEL
- Приведенная ссылка имеет лучшие примеры и полный синтаксис, просто имейте в виду, что вы используете LOCALGROUP а также LOCALUSER в этом случае..