1
1 2
Не в сети
Сообщений: 533
Благодарностей: 42
Предупреждений:
Из: Russia Москва
Род занятий: Студент

Как отключить WindowsUpdate у Windows 8 Pro x64, если комп находится в домене, администратор домена контролирует обновление, но при этом локальные админские права у меня имеются. Что где конкретно в политиках или реестре надо копать?

#209243   | 15.03.13 13:27
Не в сети
Сообщений: 389
Благодарностей: 19
Предупреждений:
Из: Russia
Род занятий: IT

Без учетной записи администратора домена - никак. Групповые политики домена имеют приоритет над локальными.

#209244   | 15.03.13 13:40
Не в сети
Сообщений: 2841
Благодарностей: 250
Предупреждений:
Из: Kazakhstan Караганда
Род занятий: ИТ

Считаю за подобные действия надо увольнять по статье, за умышленную порчу имущества предприятия.

По факту можно просто вывести компьютер из домена.

#209253   | 15.03.13 17:52
Не в сети
Сообщений: 533
Благодарностей: 42
Предупреждений:
Из: Russia Москва
Род занятий: Студент

#209253 Andrey100 :
Считаю за подобные действия надо увольнять по статье, за умышленную порчу имущества предприятия.

По факту можно просто вывести компьютер из домена.


Andrey100, а если компьютер куплен на мои кровные и даже я офицально ни в собственность, ни в аренду предприятию не давал, а принес из дома? Просто там одни хрюшки стоят, а я привык работать в восьмерке. И если бы мне не доверяли комп, как бы мне сохранили админские локальные права, Вы условия задачи читали?

#209254   | 15.03.13 19:44
Не в сети
Сообщений: 389
Благодарностей: 19
Предупреждений:
Из: Russia
Род занятий: IT

Andrey100 писал:Считаю за подобные действия надо увольнять по статье, за умышленную порчу имущества предприятия.


Согласен. Не с потолка берутся эти же правила безопасности, ёпт. Как дети е-моё. Из той же оперы: хочу лазить в одноклассники и так как злобный админ закрыл их, я полезу через анонимайзер. А то что анонимайзеры воруют пароли и внедряют перехватчики и трояны мне пофиг. Всё равно потом админ их вычищает. Я уже задолбался бороться с такими умниками, проще настроить им правило, где доступ является исключением. Подумайте, что подобные меры нужны в первую очередь для безопасности, а не для того, чтобы испортить жизнь сотруднику. Не устраивает - не носите свое оборудование на работу.

Wusa писал:И если бы мне не доверяли комп, как бы мне сохранили админские локальные права


Ну так поговори с админом, чтобы сделал отдельную групповую политику.

#209255   | 15.03.13 21:10
Не в сети
Сообщений: 3165
Благодарностей: 272
Предупреждений:
Из: Israel T.A.
Род занятий: IT

#209244 Singularity :
Без учетной записи администратора домена - никак. Групповые политики домена имеют приоритет над локальными.


Локальный администратор был и есть всегда выше чем администратор сети для своего компьютера. Это давний спор.

#209258   | 17.03.13 01:15
Не в сети
Сообщений: 2109
Благодарностей: 298
Предупреждений:
Из: Russia Екатеринбург
Род занятий: IT

Wusa, службу WindowsUpdate отключите

Поблагодарили: Wusa

#209259   | 17.03.13 06:31
Не в сети
Сообщений: 389
Благодарностей: 19
Предупреждений:
Из: Russia
Род занятий: IT

arseny1992 писал:Локальный администратор был и есть всегда выше чем администратор сети для своего компьютера. Это давний спор.


Локальный администратор может сделать так, чтобы компьютер перестал подчинятся групповым политикам домена?

#209261   | 17.03.13 09:07
Не в сети
Сообщений: 533
Благодарностей: 42
Предупреждений:
Из: Russia Москва
Род занятий: Студент

#209261 Singularity :

arseny1992 писал:Локальный администратор был и есть всегда выше чем администратор сети для своего компьютера. Это давний спор.


Локальный администратор может сделать так, чтобы компьютер перестал подчинятся групповым политикам домена?


Singularity, у меня есть книжка еще про администрирование XP, там есть древо иерархии политик, как я помню, локальные политики имеют значительное преимущество перед доменными. А иначе как? Предположим есть сетка из 100 машин, 99 у сотрудников и 1 у босса. Групповыми политиками домена включена фильтрация сайтов (ну, или какие-нибудь другие ограничения). А боссу хочется и в вк посидеть, и mp3 через ie покачать и еще что-нибудь. Естественно, что у его компа привелегий больше, но при этом есть необходимость не выходить из домена.
Lico, спасибо за совет, я уже про это думал, но решил, что просто скроется апплет "Центр обновления Windows", а политика останется. Кроме того, я полностью не хочу вырубать апдейты, мне нужно, чтобы "уведомлять, но не загружать и не устанавливать автоматически". Короче, нужен контроль над апплетом.
В принципе, сейчас проблема разрешилась мирным путем, админ попался сговорчивый. И еще сам удивился, что система обновляется автоматически (может, это корпоративный Касперский, кстати, требует).
Но хотелось бы знать на будущее.
Моя машина! (c).

#209262   | 17.03.13 11:39
Не в сети
Сообщений: 389
Благодарностей: 19
Предупреждений:
Из: Russia
Род занятий: IT

Wusa писал:Singularity, у меня есть книжка еще про администрирование XP, там есть древо иерархии политик, как я помню, локальные политики имеют значительное преимущество перед доменными. А иначе как? Предположим есть сетка из 100 машин, 99 у сотрудников и 1 у босса. Групповыми политиками домена включена фильтрация сайтов (ну, или какие-нибудь другие ограничения). А боссу хочется и в вк посидеть, и mp3 через ie покачать и еще что-нибудь. Естественно, что у его компа привелегий больше, но при этом есть необходимость не выходить из домена.


Политики на сервере перекрывают локальные. Однако, если параметр на сервере не задан, то есть стоит по умолчанию, данные могут браться из локальной политики, если там есть изменения. Касательно твоего примера, для босса и для этих 99 сотрудников создаются разные группы с разными привилегиями.
По поводу примера Lico. Я могу ошибаться, но по-моему когда приходит время синхронизации политик домена с рабочими станциями или когда WSUS начинает распространять обновления КД снова включает службу.

#209263   | 17.03.13 14:28
Не в сети
Сообщений: 533
Благодарностей: 42
Предупреждений:
Из: Russia Москва
Род занятий: Студент

Singularity, с каких пор мы на "ты"?! Еле-еле терплю уже!

потом удалю это сообщение

#209265   | 17.03.13 14:48
Не в сети
Сообщений: 389
Благодарностей: 19
Предупреждений:
Из: Russia
Род занятий: IT

Могу на вы, не привык просто, обычно всегда со всеми на ты. Я помочь хотел, да и разобраться.

Поблагодарили: Wusa

#209266   | 17.03.13 15:08
Не в сети
Сообщений: 3165
Благодарностей: 272
Предупреждений:
Из: Israel T.A.
Род занятий: IT

По сабжу локального/доменного администратора. Например:

http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/7866aacc-d6b8-412e-ab1e-69d152d1c7c4
http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/fb832ef3-1dab-4d45-978c-1d2489dd8b40
http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/8c657ab9-3fb6-463a-aac2-d02032a8c771
http://technet.microsoft.com/en-us/library/cc700835.aspx
http://technet.microsoft.com/en-us/library/bb726978.aspx
http://technet.microsoft.com/en-us/library/bb726982.aspx

http://vistavitals.blogspot.com/2008/01/uac-local-admin-vs-domain-admin.html


Много нюансов, в виде того что вам могут быть даны скажем права администратора домена для выполнения работы с доменом, но при этом не сможете изменить фоновый рисунок рабочего стола, можно обойти войдя локальными данными на локальную машину, но при этом может не быть доступа в домен (при форсированном NAP / IPSec), и т.д. и т.п. Хотя конфигурации везде разные, всё зависит от каждого конкретного случая.

#209267   | 17.03.13 17:17
Не в сети
Сообщений: 389
Благодарностей: 19
Предупреждений:
Из: Russia
Род занятий: IT

Вообще интересная тема. Насчет локального и доменного админа я не спорю, однако и тот и другой при желании могут резать друг другу права. Меня больше интересует вопрос с политиками, как помешать выполнению доменных политик без вырывания рабочей станции из домена. Наверное, где то есть настройки наследования из политик верхнего уровня.

#209269   | 18.03.13 15:07
Не в сети
Сообщений: 533
Благодарностей: 42
Предупреждений:
Из: Russia Москва
Род занятий: Студент

arseny1992, а Kaspersky Endpoint Security 10 версии тут мог свою лепту внести?
На Касперского у меня полные права для настроек, только выйти из него не могу - требует сетевой пароль.

#209270   | 18.03.13 16:14
Все права принадлежат © MSInsider.ru (ex TheVista.ru), 2019
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.123 секунд (Общее время SQL: 0.015 секунд - SQL запросов: 81 - Среднее время SQL: 0.00019 секунд))