Запрет доступа к машине по сети локальному администратору через GPO
Понадобилось сделать сабж. NT AUTHORITY\Local account and member of Administrators group мне не подходит, т.к. некоторым локальным админам доступ по сети всё же нужен.
Придумалось два костыля:
1) Добавлять локального администратора скриптом через LGPO в локальные политики.
2) Прописать SeDenyNetworkLogonRight = Administrator,Администратор руками в файл GPO. Однако, раньше у нас так и было (только применительно ко второму пользователю). Через редактор GPO этот финт не работает.
Остановился на втором варианте, понаблюдаем.
Придумалось два костыля:
1) Добавлять локального администратора скриптом через LGPO в локальные политики.
2) Прописать SeDenyNetworkLogonRight = Administrator,Администратор руками в файл GPO. Однако, раньше у нас так и было (только применительно ко второму пользователю). Через редактор GPO этот финт не работает.
Остановился на втором варианте, понаблюдаем.