Как удалить нежелательные локальные учетные записи пользователей

Допустим, ваша сеть компьютеров Windows раньше была рабочей группой, а вы изменили ее на домен. Теперь у вас есть группа рабочих станций, к которым можно получить доступ как с помощью локальных учетных записей пользователей (когда они были частью рабочей группы), так и с учетных записей доменных пользователей (хранящихся в Active Directory). Есть ли способ запретить пользователям продолжать входить в систему, используя свои старые локальные учетные записи, хранящиеся на их компьютерах?

Предпочтительным решением является удаление учетных записей локальных пользователей с каждой рабочей станции, на которой они есть. Возможная альтернатива — использовать групповую политику для управления правом пользователя «Локальный вход», чтобы запретить кому-либо, кроме пользователей домена, входить в систему на настольных компьютерах, на которые распространяется такая политика. Право пользователя «Локальный вход в систему» находится в разделе «Конфигурация компьютера» «Параметры Windows» «Параметры безопасности» «Локальные политики» > «Назначение прав пользователя». Но подход «Локальный вход в систему» следует тщательно протестировать в тестовой сети, прежде чем использовать его в сети вашего продукта, чтобы убедиться, что его реализация в вашей среде не приведет к непредсказуемым последствиям.

Еще один подход, который стоит изучить, — это использование сценария для удаления нежелательных учетных записей локальных пользователей с ваших компьютеров. Пример сценария, который делает это и который при необходимости можно дополнительно настроить, можно найти по адресу http://www.microsoft.com/technet/scriptcenter/scripts/ds/local/users/default.mspx?mfr=true в Windows. Репозиторий скриптов. Развернув этот сценарий на целевых настольных компьютерах с помощью групповой политики, вы сможете удалить с этих компьютеров все ненужные локальные учетные записи.

Наконец, вот способ социальной инженерии — настроить политики паролей в подразделении, где находятся машины с такими локальными учетными записями пользователей. Настройте политику таким образом, чтобы пользователям приходилось вводить длинные и сложные пароли, и они должны были менять их каждый день на что-то новое (и применять в истории паролей максимальное значение, чтобы они не могли повторно использовать свои старые пароли). Объекты групповой политики, для которых настроены политики паролей и которые связаны с подразделениями, будут влиять только на локальные учетные записи пользователей для компьютеров в этом подразделении, поэтому пользователям, которые пытаются использовать свои старые локальные учетные записи пользователей, придется часто менять свои пароли и, вероятно, устанут от этого. спустя некоторое время!

***

Митч Таллок был ведущим автором комплекта ресурсов Windows Vista от Microsoft Press, который является САМОЙ книгой для ИТ-специалистов, которые хотят развертывать, обслуживать и поддерживать Windows Vista в сетевых средах среднего и крупного размера. Чтобы узнать больше о Митче, посетите его веб-сайт www.mtit.com.