Удалить всех доменных юзеров из группы Администраторы с помощью GPO
 

Помогите разобраться. Надо удалить юзеров из группы администраторы, т.к. их немало, то хотел сделать через gpo
Нашел там следующее: конфигурация пользователя - настрока- параметры панели управления, создаю локальную группу: выбираю "удалить" из "Администраторы (встроенная учетная запись)". Запускаю, не прокатывает, может потому что встроенная учетная запись?
ОС - WinServer 2008 R2

чо вдруг? Computer configuration --- Preferences --- Control panel settings --- Local users & groups.

Пользовался кстати вот этой статьей http://www.oszone.net/7320/

leonty, не понял!

Что конкретно?
Показывайте с проблемной машины gpresult /R /Z

Вы указали на конфигурацию компьютера, почему? (этого я не понял)

Применяем политики вне зависимости от того, какой пользователь залогинится в системе.
Согласно статьи, применяя политику к пользователю, мы удалим его из группы администраторов того пк, на которм он зарегистрируется. На всех остальных пк, все останеться по прежнему. Если пользователь уже зарегистрировался, политика то применится и его учетная запись будет удалена из группы локальных администраторов, однако реально параметры применяться только после выхода пользователя из системы. Поэтому смысл?

Получается, что групповой политикой мою задачу не реализовать. Надо что то типо батника или скрипта?

Используйте политику Restricted groups (GP->Computer Configuration->Windows Settings->Security Settings->Restricted Groups).

ну почему вы так решили?

а как этим пунктом удалить пользователей?

Restricted Groups - указывает какие пользователи или группы будут входить в группу локальных Администраторов, все остальные пользователи/группы после применения политики будут автоматически удалены из группы локальных администраторов.

А Вы это сами проверяли? У меня такое ощущение что Вы заблуждаетесь, потому что Restricted Groups не имеет никаких параметров кроме как добавления или удаления уже существующих групп или пользователей (из АД к примеру) и у меня ощущение что она может управлять только этим списком (который есть УЖЕ в самой политике) и никак не повлияет на пользователей, которых добавили вручную в локальные администраторы (не находятся в политике).

У меня в домене стоит политика, которая в локальные администраторы добавляет служебную учетную запись для эникейщика и так вот... Я только что провел эксперимент - удалил его учетку со своего локального компьютера и добавил свою доменную учетку в локальные администраторы, после чего сделал gpupdate /force. Результат: моя учетка осталась в группе лок. админов, а еникейщик вернулся на место.

Единственный на мой взгляд верный ответ дали в самом начале про GPP где есть update\remove команды.

Да я проверял работает и используйется, показывайте скрины как у Вас настроена данная политика.

Завтра посмотрю почему не удалился мой пользователь, самому интересно стало.