Лучшие практики безопасности для доменных сетей Windows рекомендуют отключать локальные учетные записи пользователей на компьютерах и серверах домена Active Directory. Локальные учетные записи с правами администратора на компьютерах могут являться слабым звеном в безопасности вашего домена. Вы можете использовать инструменты типа LAPS (Local Administrator Password Solution) для установки уникальных сложных паролей администраторов или можете полностью отключить учетные записи локальных администраторов с помощью групповых политик AD.
В групповых политиках Windows есть несколько способов отключения локальных пользователей и администраторов.
Откройте консоль управления Group Policy Management Console (gpmc.msc), создайте новую GPO и назначьте на OU с компьютерами, на которых вы планируете отключить локальных пользователей (Create a GPO in this domain and Link it here).
Укажите имя политики, затем щелкните по ней правой кнопкой и выберите Edit.
Вы можете отключить только учетную запись встроенного администратора.
- Для этого перейдите в раздел Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options;
- Найдите параметр Accounts: Administrator account status и измените его значение на Define this policy settings -> Disabled;
- После обновления GPO на целевом компьютере встроенная учетная запись администратора будет отключена.
Можно отключить встроенного администратора с помощью Group Policy Preferences:
- Перейдите в раздел Computer Configuration -> Preferences -> Control Panel Settings -> Local Users and Computers;
- Выберите New -> Local User;
- Создайте новый параметр со следующим настройками:
Action: Update User name: Administrator (built-in) Account is disables: True
Чтобы удалить всех локальных пользователей из встроенной группы Administrators, создайте новый параметр в этом же разделе GPO (New- > Local Group).
Action: Update Group Name: Administrators (built-in) Delete all member users: True Delete all member groups: True Add: Добавьте доменную группу, которой предоставить права администратора на этом компьютере (для службы тех поддержки, HelpDesk или системных администраторов) -> Add to this group.
Такая политика удалит любых локальных или доменных пользователей, которых вручную добавили в администраторы.
Если вам нужно отключить всех локальных пользователей кроме определенных, вы можете воспользоваться таким скриптом PowerShell (можно использовать для всех версий Windows, начиная с 8.1/Server 2012R2 и до современных Windows 11 и Windows Server 2022) :
get-localuser | ? {($_.name -ne 'Administrator') –and ($_.name -ne 'IISUsr') } | disable-localuser
Сохраните этот код как файл с расширением *.PS1 в каталог netlogon на контроллере домене (\\contoso.com\netlogon). Теперь вы можете запустить его при загрузке компьютера как логон скрипт PowerShell. Чтобы выполнить PowerShell скрипт при загрузке компьютера, перейдите в раздел Computer Configuration -> Policies -> Windows Settings -> Scripts (Startup / Shutdown) -> Startup.
Перейдите на вкладку PowerShell Scripts и добавьте ваш PS1 файл, указав UNC путь к нему на SYSVOL.
Такой скрипт отключит на компьютере все локальные учетные записи кроме пользователей с именами Administrator и IISUsr.
