Используем Group Policy Preferences для контроля членства в группе локальных администраторов

Эта статья является логическим продолжением предыдущей. В ней рассказывается о том, как контролировать, кто находиться в локальной группе администраторов на компьютерах в домене.

Для внесения пользователей и групп в группу локальных администраторов воспользуемся уже знакомой нам оснасткой Group Policy Preferences. Для этого в Group Policy Management Editor отправляемся в

Computer Configuration -> Preferences -> Control Panel Settings -> Local User and Groups.

Щелкаем ПКМ или через меню Action выбираем New -> Local Group. Перед вами появится окно New Local Group Properties в нем и будем настраивать членство в группе и другие опции.

    Action: оставляем Update,
    Group name: выбираем «Administrator (built-in)» (это выберет группу локальных администраторов, даже если она была переименована),Выделяем обе галки: Delete all member users и Delete all member groups.

Дальше необходимо внести в список членов группы группу доменных админов и группу локальных админов. Для этого нажмите на кнопку «Add…» появится следующее окно.

В поле Name: введите «BuiltIn\Administrators» и нажмите OK.

Таким же образом следует добавить группу доменных админов, только вместо этого в поле Name: нажмите клавишу F3 для вызова списка доступных переменных и выберите «DomainName», после этого допишите «\Domain Admins». В конечном итоге окно добавления новой локальной группы должно выглядеть так

После обновления групповой политики на компьютерах домена на которые она оказывает влияние членство группы локальных администраторов будет контролироваться централизовано и даже, если пользователь сможет добавить туда нового пользователя или группу список будет обновлен в соответствии со списком указанным в групповой политике.

Добавляем конкретных пользователь в группу локальных администраторов.

Теперь поговорим о том, как добавить конкретного пользователя, которому необходимы права администратора в группу локальных администраторов, при этом он не должен иметь возможности добавлять других пользователей в эту группу.

Для следующего примера предположим, что компьютеры у нас называются WS-01, WS-02, WS-03 и т.д., домен domain.local. Мы собираемся создать уникальные группы основанные на имени компьютера и затем добавить их в группу локальных администраторов.

Для этого в Group Policy Management Editor отправляемся в

Computer Configuration -> Preferences -> Control Panel Settings -> Local User and Groups.

Щелкаем ПКМ или через меню Action выбираем New -> Local Group и создаем новую локальную группу. Нажимаем кнопку «Add…», в поле Name: вбиваем «%DomainName%\%ComputerName% Administrators». Как видим в этом случае используются две переменные, к имени домена добавилась переменная имени компьютера. Например, после применения групповой политики на компьютере WS-01 в локальную группу администраторов будет добавлена группа «domain\WS-01 Administrators».

Примечание: Сама по себе данная групповая политика не создает никакие группы. Группы основанные на имени компьютера будут добавляться в группу локальных администраторов только в том случае, если они были заранее созданы администратором.

Теперь, когда пользователю понадобятся права локального администратора достаточно будет создать в домене группу с названием «<Domain_name>\<Computer_name> Administrators»

где:

    Domain_name — имя вашего домена;
    Computer_name — имя компьютера, за которым работает пользователь.

И добавить этого пользователя в эту группу.

В итоге в списке Local Users and Groups у нас появятся две записи: первая будет вносить в группу локальных администраторов группу доменных админов и группу локальных админов (при этом удаляя всех остальных участников), а вторая добавляет уникальную группу основанную на имени компьютера.

После всех проделанных действий на компьютере WS-01 в списке группы локальных администраторов будут значиться:

    WS-01\Administrators
    Domain\Domain Admins
    Domain\WS-01 Administrators

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s