Dzień dobry.

Scenariusz:

Mamy maszynę DOMAIN.LOCAL\SRV_1. Chcielibyśmy wydzielić jednego użytkownika domenowego, który będzie posiadał pełne uprawnienia lokalnego administratora tylko na tej konkretnej maszynie.

Poprzez GPO z kontrolera domeny używamy Restricted Groups, do dopisania go do lokalnej grupy administratorów na SRV_1.

Problemy są 2:

1. Na ile lokalny administrator może nabruździć w domenie? Zakładając, że wyłączyliśmy opcję dodawania użytkowników do domeny poprzez innych użytkowników (standard user). Co pozostaje jeszcze w mocy lokalnego administratora danego PC, co powinniśmy zabezpieczyć pod kątem dobrej praktyki? Pierwsze co przychodzi mi do głowy, to czytanie listy użytkowników domeny.

2. W jaki sposób zablokować lub monitorować możliwość dodawania innych kont (np domenowych) do grupy lokalnego administratora, przez właśnie tego administratora? Można napisać GPO na komputer, które odświeża restricted groups wedle założenia, aczkolwiek to w dalszym ciągu daje okienko czasowe, w którym taki użytkownik (nowy) może pojawić się w tej grupie.

Z góry dziękuję za pomoc. :)