Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Využití technologie Restricted Groups k nastavení členství lokálních skupin na stanicích
březen 18
Využití technologie Restricted Groups k nastavení členství lokálních skupin na stanicích

Potřebujete centrálně a jednoduše udělat z nějakých doménových uživatelů lokální správce na několika stanicích? Překvapivě se o tom moc neví, tak to tu alespoň zrychleně zdokumentuju. Použije se na to technologie Restricted Groups, která je ve Windows již od verze Windows 2000 a kdoví, jestli ne ještě déle.

Co je cílem? Máme nějaké doménové uživatele. Oni pracují na nějakých stanicích, kde mají mít lokální správcovská oprávnění. Mají být tedy členy pouze lokálních Administrators. Samozřejmě bychom z nich mohli udělat rovnou doménové administrátory, ale to je cesta do pekla. Oni přitom mohou být jen správci několika počítačů, které si mohou ničit, jak se jim bude chtít.

Jak toho dosáhnout centrálně? Pomocí Group Policy a Restricted Groups.

Nejprve pro ně založte v Active Directory skupinu, v mém případě je to WKS Admins.

Dále spustíte konzoli Group Policy Management (GPMC). A nad organizační jednotkou s příslušnými počítači vytvoříme nový Group Policy Object (GPO). Nedělejte to na úrovni domény, protože tak byste z nich udělali rovnou i doménové administrátory, a to přece nechceme. Takže cílové počítače musí být ideálně v nějaké organizační jednotce (organizational unit) - samozřejmě by to šlo přefiltrovat taky pomocí skupin počítačů, nebo třeba pomocí WMI filtrů, ale to je složitější historie.

Pak kliknete pravým tlačítkem Edit na tomto GPO a rozbalíte Computer Configuration - Policies - Windows Settings - Security Settings - Restricted Groups. Na Restricted Groups potom pravým dáte Add group. a přidáte tam vaši doménovou skupinu - u mě WKS Admins.

Až ji tam máte, vlezete znovu do jejích vlastností a přidáte do políčka This group is member of právě lokální skupinu Administrators.

A je to.

Comments

a co preference ?

Ahoj

neni nahodou restricted groups pouzito tak za vsechny ostatni odstrani ?

tim padem tvoje politika odstrani domain admins

moznost je pouzit preferences, kde se skupiny, nebo jen lide pridavaji k stavajicim clenum ve skupine
petr on 18.3.2013 14:08

Re: Využití technologie Restricted Groups k nastavení členství lokálních skupin na stanicích

no proto tam dávám tu skupinu WKS Admins a teprve uvnitř říkám, že ona bude členem Administrators. Kdybych to udělal opačně - tzn. že bych tam přidal rovnou Administrators a řekl, že skupina WKS Admins je jejich členem, tak by to opravdu vyčistilo ty lokální adminy. Je potřeba to udělat přesně takhle a potom to nikoho nevyprázdní.
ondass on 18.3.2013 14:12

Re: Využití technologie Restricted Groups k nastavení členství lokálních skupin na stanicích

je rozdíl mezi tím, jestli a o kom řeknu "Is member of this group" and "Members of this group". Položka "Is member of this group" nečistí, zatímco "Members of this group" čistí :-)
ondass on 18.3.2013 14:13

domain admin v dvoch forestroch cez restricted groups

cize dalo by sa pouzit restricted group na pridelenie prav skupine, alebo uzivatelovi z jednej domeny do domain admin v druhej cez domenovy trust?
Andrej on 3.4.2013 13:57

Re: Využití technologie Restricted Groups k nastavení členství lokálních skupin na stanicích

to ne, to byste bohužel nedokázal. přes trusty se neaplikují zásady.
ondass on 3.4.2013 14:06

Re: Využití technologie Restricted Groups k nastavení členství lokálních skupin na stanicích

Konečně inteligentní a smysluplný návod. Děkuji.
Dělal jsem to přesně obráceně a skutečně mi to vyčistilo politiku. Takto to funguje jak má. Fakt díky.
pocetka
pck on 27.4.2018 12:34

Re: Využití technologie Restricted Groups k nastavení členství lokálních skupin na stanicích

Snad bych jen ještě doplnil, pro lidi jako já, že do skupiny WKS Admins je potřeba přidat toho konkrétního doménovégho uživatele, který má mít admin práva. Jasně že je to samozřejmost, ale někde jeden neví ...
pck on 27.4.2018 12:38

Re: Využití technologie Restricted Groups k nastavení členství lokálních skupin na stanicích

A jeste vyhody a nevyhody oproti preferencim ?
Marek G. on 15.8.2018 8:41

Re: Využití technologie Restricted Groups k nastavení členství lokálních skupin na stanicích

no jede to všude od Windows 2000, zatímco "preferences" jsou až od Vista/2008 nebo se to musí přiinstalovat na 2003, ale já mám pořád ještě dost 2003 zákazníků
ondass on 15.8.2018 9:58

Re: Využití technologie Restricted Groups k nastavení členství lokálních skupin na stanicích

A jeste vyhody a nevyhody oproti preferencim ?
Marek G. on 15.8.2018 21:09

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments