J'ai une image Windows 7 que je déployerai dans un système. Je laisse le compte initial en tant qu'administrateur local disponible pour toute modification qui doit arriver à l'ordinateur sur la route. Je joint également l'ordinateur à un domaine.
Maintenant, lorsque je redémarre l'ordinateur, je trouve que l'administrateur local non intégré n'est plus dans le groupe des administrateurs locaux.
Qu'est-ce qui pourrait causer cela? Ma première supposition est la politique de groupe, car je vais ajouter le compte au groupe d'administrateur local, mais cela se produit une fois de plus après le redémarrage.
Pour confirmer / refuser la politique de groupe, rsop.msc
exécution de rsop.msc
ou utilisez GPResult
sur le client, et cherchez à voir ce qu'ils vous montrent sur les stratégies de groupe appliquées.
Les possibilités comprennent les «groupes restreints» :
Cette fonctionnalité vous permet, en tant qu'administrateur, de configurer les membres du groupe sur les ordinateurs clients ou les serveurs membres. Vous pouvez ajouter des comptes d'utilisateurs à des groupes sur des machines clientes qui sont dans la portée de la politique
Ou peut-être, les préférences de la stratégie de groupe "Groupe local" :
La tâche initiale consistant à sécuriser le groupe Administrateurs local est de s'assurer que l'utilisateur n'a plus d'appartenance au groupe. C'est plus facile à dire qu'à faire, puisque la plupart des entreprises ont configuré le compte de domaine de l'utilisateur pour avoir une appartenance à ce groupe lors de l'installation de l'ordinateur de l'utilisateur.
… En tant que solution parfaite, vous pouvez utiliser le groupe local – Préférence de stratégie de groupe pour accomplir la tâche dans environ 90 minutes de votre mise en œuvre.
Configuration des paramètres de révocation pour un domaine.
Domain Admins est l'appartenance minimale au groupe requise pour compléter cette procédure.
Pour configurer les paramètres de révocation pour un domaine:
Techniquement, c'est Active Directory faisant cela.
Vous devrez créer un compte local séparé et l'ajouter au groupe d'administrateur intégré.