Групповые политики: Локальный вход в систему

[a_muskat]

В настройке (W3k) "Локальный вход в систему" нельзя не оставить группу локальных администраторов. Можно ли каким-то образом оставить оставить только Администраторов домена?

[zondm]

Нет. Учетная запись локального администратора является встроенной.
Если и можно как то удалить то только через реестр.

[a_muskat]

Нужно не удалить его, а запретить интерактивный вход

[zondm]

Попробуй в
HKEY_USERS\XXXXXXXXXXX-юзверь\Control Panel\Input Method
посмотреть. Может что найдешь.

[a_muskat]

Ни кто не сталкивался с такой проблемой?
Просто много людей имеют доменный аккаунт, являющийся административным на рабочих станциях пользователей. Это нельзя изменить(решение руководства). Но просто жизненно необходимо запретить входить под локальным админом. Смена пароля при логоне скриптом не вариант.

[ALEX_SE]

Отклонить локальный вход.
Но кто помешает им исправить? А имея легальные права это не будет нарушением.

С какой целью ограничение вводится? Может другие пути есть решения проблемы?

[a_muskat]

Иного пути решения нет. Или я его не вижу

Отклонить локальный вход.
Но кто помешает им исправить? А имея легальные права это не будет нарушением.

Они локальные админы на рабочих станциях, входящие под доменными учетками. Может я что-то не понимаю, но если в GP прописать кому разрешен локальный вход, а кому нет, то так и будет.
За исключение локальных админов...

[abc]

Ну назначьте свой пароль локальному администратору... войти не смогут, пока не поменяют , а за это руководство, которое так хочет странного, должно соответствующим образом награждать.
Или сразу посылать сообщение о логоне запретного аккаунта - пока не расчухают, один-два попадутся.
Вообще в войне админов победителей быть не может.