Нужно проверять регулярно на всех компах домена кто входит в группу локальных админов, удалять оттуда ненужных, если они появляются и добавлять нужных:
- проверять содержимого группы локальных админов доменных компов, в идеале, - сравнивать со списком из текстового файла, например.
- уведомлять о несоответствии по электронной почте
- ликвидировать найденное несоответствие, например, довалять группу Domain Admins в локальную группу "Администраторы" и удалять юзеров, которых нет в списке из первго пункта.
- писать лог своей работы в сетевую папку или в базу (в том числе версию скрипта, дату и время срабатывания, имя машины, имя пользователя, выявленные несоответствия)
это вообще реально? гуглил 2 дня. максимум что нашёл, скрипт вывода списка членов локальной группы "Администраторы" на всех компах домена, большего , судя по всему никто не делал. Дальше, наверное руками все решают, но у меня 1500 компов раскиданных по 5 зданиям, руками плохо (
есть решение, через GPO и Restricted Groups, но оно не даёт информации и детальных логов - где было что, что исправлено, на каких компах удалось сработать, на каких нет и т.п.
как у вас сделано?
1. Да, restricted groups - стандартно для таких задач...09.12.16 02:26 Автор: AlexD <Alexander> Статус: Member
1. Да, restricted groups - стандартно для таких задач. Потому никто и не пишет скриптов, что "уже всё есть".
2. Можно попробовать включить детальные логи для соответствующего компонента GP. Там, обычно, всё крайне подробно - про любые изменения. Правда пишутся локально на комп в текстовик. Но собрать - уже не такая проблема.
В разных разделах АД разные политики - где-то можно быть...07.12.16 23:39 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
> Нужно проверять регулярно на всех компах домена кто входит > в группу локальных админов, удалять оттуда ненужных, если > они появляются и добавлять нужных:
В разных разделах АД разные политики - где-то можно быть локальными админами, где-то нет.
Где нельзя - скрипт зачищает группу от всего лишнего и добавляет нужное.
Содержимое групп собирает SCCM.
Логи не собираются за ненадобностью. При желании, конечно, можно сделать тем же скриптом.
Странно, что происходят изменения этой группы. Если пароль локального админа никто не знает и админы домена этого не делают, то откуда в группе локальных админов что-то добавится или удалится???
> как у вас сделано?
На ум приходит только ADSI + VBScript06.12.16 13:36 Автор: Den <Денис Т.> Статус: The Elderman
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
