Как настроить User Profile Wizard так, чтобы после привязки тестового пользователя к домену, он не сохранял права администратора на локальной машине? Необходимо ли вручную удалить пользователя из группы локальных администраторов после привязки к домену или это можно исправить каким-то другим способом?
При добавлении пользователя в Active Directory, его учетная запись может быть автоматически назначена администратором на локальной машине, если в процессе привязки к домену это не было предвидено или настроено иначе. Это может произойти из-за настроек групповой политики или других настроек домена. Для того чтобы предотвратить сохранение прав администратора на локальной машине после привязки пользователя к домену, необходимо настроить правильно процесс присоединения к домену. В случае использования User Profile Wizard можно убедиться, что в настройках задачи по привязке пользователя к домену указано необходимое изоляционное правило. Также можно использовать групповые политики, чтобы ограничить права пользователя на локальной машине после привязки к домену. Если пользователь все равно сохраняет права администратора на локальной машине, то можно вручную удалить его из группы локальных администраторов после привязки к домену. Однако это не самый оптимальный способ решения проблемы, поэтому рекомендуется настроить процесс привязки к домену и соответствующие политики так, чтобы права администратора на локальной машине не сохранялись для пользователей из Active Directory.
User Profile Wizardпотому что это костыль для ленивых, переводи нормально в домен, с полной переустановкой и настройкой с нуля. Да, это дольше, но зато это соответствует Бусидо/Феншую и прочим best practices. В идеале сотруднику новый комп готовишь, потом домен, потом все GPO, потом настраиваешь под юзера, приглашаешь, он приходит осматривает, часик работает говорит "всё ок" - и меняешь компы местами. Я так бухов десять человек перенёс, зато все счастливы, и проблем не возникнет из-за этого костыля, на котором всё это балансирует