Как отключить WindowsUpdate у Windows 8 Pro x64, если комп находится в домене, администратор домена контролирует обновление, но при этом локальные админские права у меня имеются. Что где конкретно в политиках или реестре надо копать?
#209253Andrey100 :
Считаю за подобные действия надо увольнять по статье, за умышленную порчу имущества предприятия.
По факту можно просто вывести компьютер из домена.
Andrey100, а если компьютер куплен на мои кровные и даже я офицально ни в собственность, ни в аренду предприятию не давал, а принес из дома? Просто там одни хрюшки стоят, а я привык работать в восьмерке. И если бы мне не доверяли комп, как бы мне сохранили админские локальные права, Вы условия задачи читали?
Andrey100 писал:Считаю за подобные действия надо увольнять по статье, за умышленную порчу имущества предприятия.
Согласен. Не с потолка берутся эти же правила безопасности, ёпт. Как дети е-моё. Из той же оперы: хочу лазить в одноклассники и так как злобный админ закрыл их, я полезу через анонимайзер. А то что анонимайзеры воруют пароли и внедряют перехватчики и трояны мне пофиг. Всё равно потом админ их вычищает. Я уже задолбался бороться с такими умниками, проще настроить им правило, где доступ является исключением. Подумайте, что подобные меры нужны в первую очередь для безопасности, а не для того, чтобы испортить жизнь сотруднику. Не устраивает - не носите свое оборудование на работу.
Wusa писал:И если бы мне не доверяли комп, как бы мне сохранили админские локальные права
Ну так поговори с админом, чтобы сделал отдельную групповую политику.
arseny1992 писал:Локальный администратор был и есть всегда выше чем администратор сети для своего компьютера. Это давний спор.
Локальный администратор может сделать так, чтобы компьютер перестал подчинятся групповым политикам домена?
Singularity, у меня есть книжка еще про администрирование XP, там есть древо иерархии политик, как я помню, локальные политики имеют значительное преимущество перед доменными. А иначе как? Предположим есть сетка из 100 машин, 99 у сотрудников и 1 у босса. Групповыми политиками домена включена фильтрация сайтов (ну, или какие-нибудь другие ограничения). А боссу хочется и в вк посидеть, и mp3 через ie покачать и еще что-нибудь. Естественно, что у его компа привелегий больше, но при этом есть необходимость не выходить из домена. Lico, спасибо за совет, я уже про это думал, но решил, что просто скроется апплет "Центр обновления Windows", а политика останется. Кроме того, я полностью не хочу вырубать апдейты, мне нужно, чтобы "уведомлять, но не загружать и не устанавливать автоматически". Короче, нужен контроль над апплетом.
В принципе, сейчас проблема разрешилась мирным путем, админ попался сговорчивый. И еще сам удивился, что система обновляется автоматически (может, это корпоративный Касперский, кстати, требует).
Но хотелось бы знать на будущее.
Моя машина! (c).
Wusa писал:Singularity, у меня есть книжка еще про администрирование XP, там есть древо иерархии политик, как я помню, локальные политики имеют значительное преимущество перед доменными. А иначе как? Предположим есть сетка из 100 машин, 99 у сотрудников и 1 у босса. Групповыми политиками домена включена фильтрация сайтов (ну, или какие-нибудь другие ограничения). А боссу хочется и в вк посидеть, и mp3 через ie покачать и еще что-нибудь. Естественно, что у его компа привелегий больше, но при этом есть необходимость не выходить из домена.
Политики на сервере перекрывают локальные. Однако, если параметр на сервере не задан, то есть стоит по умолчанию, данные могут браться из локальной политики, если там есть изменения. Касательно твоего примера, для босса и для этих 99 сотрудников создаются разные группы с разными привилегиями.
По поводу примера Lico. Я могу ошибаться, но по-моему когда приходит время синхронизации политик домена с рабочими станциями или когда WSUS начинает распространять обновления КД снова включает службу.
Много нюансов, в виде того что вам могут быть даны скажем права администратора домена для выполнения работы с доменом, но при этом не сможете изменить фоновый рисунок рабочего стола, можно обойти войдя локальными данными на локальную машину, но при этом может не быть доступа в домен (при форсированном NAP / IPSec), и т.д. и т.п. Хотя конфигурации везде разные, всё зависит от каждого конкретного случая.
Вообще интересная тема. Насчет локального и доменного админа я не спорю, однако и тот и другой при желании могут резать друг другу права. Меня больше интересует вопрос с политиками, как помешать выполнению доменных политик без вырывания рабочей станции из домена. Наверное, где то есть настройки наследования из политик верхнего уровня.
arseny1992, а Kaspersky Endpoint Security 10 версии тут мог свою лепту внести?
На Касперского у меня полные права для настроек, только выйти из него не могу - требует сетевой пароль.
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.035 секунд (Общее время SQL: 0.012 секунд - SQL запросов: 98 - Среднее время SQL: 0.00013 секунд))