Просмотр темы - Как вернуть админа?

[kilometr Профиль]

Доброго дня всем.
Такое дело: на локальном компе в домене, пользователь является админом этого компа, но в в домене юзером обычным. Так вот в виду таго что он локальный админ -он что то сделала-что админ домена теперь не может к нему подключиться-при попытке говорит не прав доступа? Не подскажите в чём причина?

[slz Профиль]

Удалил из локальной группы Administrators - глобальную секюрити группу Domain Admins.

[sea Профиль]

Или добавил в политике безопасности в параметр - "Отказ в доступе к компьютеру из сети"

[kilometr Профиль]

Спасибо,но что теперь делать? Можно как то вернуть всё это не садясь за его машину?

[sea Профиль]

Доменная политика безопасности перекроет локальную.
Хотя теоритически может не перекрыть, если он не будет перегружать компьютер

[kilometr Профиль]

Ещё раз спасибо-а не подскажите-каие шаги мне теперь предпринять по востоновлению этой учётной записи записи?

[sea Профиль]

Администрирование - Group Policy Management (если нет скачать у Microsoft и поставить).
Group Policy Objects - new.
Computer Configuration
Windows Settings
Security Settings
Restricted Groups
добавть BUILTIN\Администраторы: Администратор, DOMAIN\Domain Admins

Где DOMAIN - имя Вашего домена.

+
Computer Configuration
Windows Settings
Security Settings
Локальные политики
Назначение прав пользователя
Отказ в доступе к компьютеру из сети
Гость, и какой то там support_xxx у меня, посмотрите на любой машине в вашем домене.

Т.к. опыта нет, желательно создать отдельную OU и поместить туда этот компьютер.
Потом привязать получившийся объект GP к административной единице, в которой находится целевой компьютер.
Подождать 45 минут - попробовать получить доступ.
Не получится - перегрузить целевой компьютер или ждать когда пользователь перезагрузит самостоятельно.

[kilometr Профиль]

простите, а что сделать на вкладке Отказ в доступе к компьютеру из сети?

[sea Профиль]

Включить и добавить пользователя Гость, Guest, и еще кто там может быть (посмотреть список на любой машине в домене, запустив gpedit.msc)
Этот шаг может и не понадобиться. Попробуйте обойтись политикой Restricted Groups (Группы с ограниченным доступом).

[kilometr Профиль]

Большое спасибо за помощь-но почемуто не получилось, ЗАТО я смог зайти из под локального админа, который был создан изначально во время установки...В связи с этим вопрос-а его что нельзя удалить?