Завел компьютер в домен, создал пользователя. Вопрос, можно ли отключить всех локальных пользователей. Чем вообще это грозит.

(0)локально не зайдешь

(1) не может быть

(1) Ну и хорошо, т.е. цель такова чтобы пользователь мог только зайти под доменной учеткой пользователя и все, больше никак иначе, в т.ч. и локальным пользователем. Вот только опыта маловато пока что, поэтому сомневаюсь правильно ли так делать?

Запароль всех локальных нафиг, пароль на бумажку, бумажку порвать, съесть, запить пивом.

(3) нет

(3)а если надо будет вывести из домена? а если полечить без сетки

allow logon localy

(6) по умолчанию включено кэширование записей ад

(7) прокатит если он всех ползователей локальных чпокнул?

разве можно админа чпокнуть?

(6) Хорошо, тогда подскажите вот такой вопрос, оставлю локального админа, за паролем хорошим, возможно ли этот пароль в итоге поломать? Дело в том что несколько пользователей по цехам дальним сидят и немного хакерят, чуть-чуть портя жизнь.

возможно, есть несколько вариантов
1 напоить админа
2 поставить снифер
3 поставить подбор пароля и через 100500 лет получить его

(7) хотя правильно deny logon localy

(11) если есть физДоступ к компу - да

+(6) Т.е. задача стоит у меня такая чтобы силами AD запретить всякое там изменение IP адреса, ползанье по шарам, установку снифферов и т.д.

(11)подоборать не подберут, но сбросить - нагуглят 6сек.

+ для таких пользователей и существует AD с групповыми политиками, даже пи(у)кнуть не смогут

(15)какое отношение это к локальному входу?

(16) сбросить? не имея доступа к компу?

(19)Я про загрузиться с дискеты/флешки, ты про какой доступ?

(18)  так даже будуччи в домене можно войти как локальный админ и химичить химичить

(17) Вот, потому туда и копаю, что делать с локальным админом, немогу решить уже второй день.

ничего не делать, пароль, отвечаюший требованим сложности и все

правильные люди не сбрасывают пароль админа, а добаляют нового =)

(22)переименуй, как вариант

(24)да, так проще не наследить

(24) Вот эта возня и происходит всякие там linux knoppix так и  суют...

(25) Точно, спасибо хороший вариант ведь...

это называется параноя

вариант (13) всетаки попробуй

(30) Хорошо, спасибо, попробую осовить этот вариант тоже.

(28)ну тогда до кучи заведи ещё и нового с логином "Администратор", а с правами как у гостя, пусть логиняться....

(32) Да уж, стоит сделать.

с локальным сбросом фиг чего сделаешь, только сможешь узнать, что сбрасывали пароль
(32) программы сброса пароля показывают права

(27) что за возня ? ты о чём ?

а отключение не ?

net user Администратор /active:no

(36) "Press [4] to make active"

(0) Грозит тем, что когда нибудь понадобится зайти локальным пользователем и зайти будет нечем.

(11) Подобрать брутфорсом хороший пароль практически нереально (хотя конечно мощности увеличиваются постоянно), а вот сбросить его - задача даже не для 1-го курса института, всяких реаниматоров сейчас...
Из защиты - отключение CD-Rom, опечатывание USB. :)

(15) Пользователям таким дать по рукам административными средствами. "Приказ №.... Запрещена установка несогласованного с отделом .... программного обеспечения." И депремирование...

(24) Правильные люди не создают нового, а переименовывают администратора по умолчанию, и создают ложный бюджет пользователя "администратор"

(38) для того, чтоб не разбираться : ложный или нет - проще создать

(39) Имеющийся в системе после установки пользователь "Администратор" переименовывается в "Vasya", создается безправная учетка "Администратор", которой копируется старое описание, и пусть ее стараются взламывают. :)

*Кстати - переименовать "встроенных" администраторов можно средствами AD.

(40) что мне помещает создать юзера Пупкин с правами локального админа ?

(40) учетные данные определяются не по имени а по содержимому
(37) и чо ?

(0) Зачем???

Пароль на биос, запрет загрузки с чего угодно кроме винта, замок на корпус (в принципе щас почти все корпусы идут с ушком под замок), сидюк вообще не нужен, усб запломбировать или отключить

(44)+замуровать розетки и шнурок питания спрятать в сейф

А вообще правильно пишет (38), я именно таким образом поборол химика любящего эксперименты

(44) против лома - нет приёма

(47) вполне достаточно приказа по предприятию о депремировании и положения об информационной безопасности, ну можно еще добавить регламент использования автоматизированного рабочего места

и конторе тока в плюс, экономия бюджета на фонде заработной платы

(41) Да ничего не мешает - цель не создание учетной записи с админскими правами, а создание ложной цели для взломщика.

(48) +1 В большинстве случаев достаточно административных мер.

(0) Кстати - при помощи тех же реаниматоров можно не только сбросить пароль, но и разблокировать пользователя.

(52) Да, имея физический доступ к внутренностям компа проблемы вообще никакой, или имея возможность включить загрузку с флешка/сидюк