Используем Group Policy Preferences для контроля членства в группе локальных администраторов
Эта статья является логическим продолжением предыдущей. В ней рассказывается о том, как контролировать, кто находиться в локальной группе администраторов на компьютерах в домене.
Для внесения пользователей и групп в группу локальных администраторов воспользуемся уже знакомой нам оснасткой Group Policy Preferences. Для этого в Group Policy Management Editor отправляемся в
Computer Configuration -> Preferences -> Control Panel Settings -> Local User and Groups
Щелкаем ПКМ или через меню Action выбираем New -> Local Group. Перед вами появится окно New Local Group Properties в нем и будем настраивать членство в группе и другие опции.
- Action: оставляем Update
- Group name: выбираем "Administrator (built-in)" (это выберет группу локальных администраторов, даже если она была переименована),Выделяем обе галки: Delete all member users и Delete all member groups
Дальше необходимо внести в список членов группы группу доменных админов и группу локальных админов. Для этого нажмите на кнопку "Add…" появится следующее окно.
- Name: введите
"BuiltIn\Administrators"и нажмите OK.
Таким же образом следует добавить группу доменных админов, только вместо этого в поле Name: нажмите клавишу F3 для вызова списка доступных переменных и выберите "DomainName", после этого допишите \\Domain Admins. В конечном итоге окно добавления новой локальной группы должно выглядеть так
После обновления групповой политики на компьютерах домена на которые она оказывает влияние членство группы локальных администраторов будет контролироваться централизовано и даже, если пользователь сможет добавить туда нового пользователя или группу список будет обновлен в соответствии со списком указанным в групповой политике.
Добавляем конкретных пользователей в группу локальных администраторов.
Теперь поговорим о том, как добавить конкретного пользователя, которому необходимы права администратора в группу локальных администраторов, при этом он не должен иметь возможности добавлять других пользователей в эту группу.
Для следующего примера предположим, что компьютеры у нас называются WS-01, WS-02, WS-03 и т.д., домен domain.local. Мы собираемся создать уникальные группы основанные на имени компьютера и затем добавить их в группу локальных администраторов.
Для этого в Group Policy Management Editor отправляемся в
Computer Configuration -> Preferences -> Control Panel Settings -> Local User and Groups
Щелкаем ПКМ или через меню Action выбираем New -> Local Group и создаем новую локальную группу. Нажимаем кнопку "Add…", в поле Name: вбиваем %DomainName%\%ComputerName% Administrators. Как видим в этом случае используются две переменные, к имени домена добавилась переменная имени компьютера. Например, после применения групповой политики на компьютере WS-01 в локальную группу администраторов будет добавлена группа "domain\WS-01 Administrators".
Примечание: Сама по себе данная групповая политика не создает никакие группы. Группы основанные на имени компьютера будут добавляться в группу локальных администраторов только в том случае, если они были заранее созданы администратором.
Теперь, когда пользователю понадобятся права локального администратора достаточно будет создать в домене группу с названием <Domain_name>\<Computer_name> Administrators
где:
- Domain_name - имя вашего домена;
- Computer_name - имя компьютера, за которым работает пользователь
И добавить этого пользователя в эту группу.
В итоге в списке Local Users and Groups у нас появятся две записи: первая будет вносить в группу локальных администраторов группу доменных админов и группу локальных админов (при этом удаляя всех остальных участников), а вторая добавляет уникальную группу основанную на имени компьютера.
После всех проделанных действий на компьютере WS-01 в списке группы локальных администраторов будут значиться:
- WS-01\Administrators
- Domain\Domain Admins
- Domain\WS-01 Administrators