none
Специфика работы групповой политики "Группы с ограниченным доступом" RRS feed

  • Вопрос

  • Всем привет, глобальная группа безопасности в AD добавлена в групповую политику "Группы с ограниченным доступом" для делегирования этой группе полномочий администратора, при отрабатывании политики все пользователи на рабочих станциях кроме встроенного администратора теряют членство в группе администраторы - я так понимаю, что это фича такой политики, но мне сообщили, что она может отрабатывать без сброса прав админа у локальных учетных записей, так ли это?
    • Изменено Pavel Struk 29 марта 2019 г. 3:47
    29 марта 2019 г. 1:38

Ответы

  • Павел, рекомендовал бы для этой задачи использовать более гибкую политику:

    Computer Configuration-> Preferences-> Control Panel Settings-> Local Users and Groups

    P.S. Почему пользователи на рабочих станциях имеют членство в группе администраторы? Настолько им доверяете?

    29 марта 2019 г. 6:31
  • 1. Отнюдь не устаревшая, а даже более гибкая чем Restricted Groups.

    2. Упоминаете в своём первом посте. В связи с этим и был PS - почему у вас до применения политики пользователи являются админами на рабочих станциях? Вы их туда как добавили?

    1 апреля 2019 г. 6:32

Все ответы

  • Павел, рекомендовал бы для этой задачи использовать более гибкую политику:

    Computer Configuration-> Preferences-> Control Panel Settings-> Local Users and Groups

    P.S. Почему пользователи на рабочих станциях имеют членство в группе администраторы? Настолько им доверяете?

    29 марта 2019 г. 6:31
  • А почему рекомендуете "Предпочтения групповой политики"? Насколько я помню, эта политика морально устарела, и некоторые ее функции уже были отключены в 2012 сервере. 

    Я нигде не упоминал, что пользователи имеют членство в группе администраторы, они авторизуются по доменным учетным записям, а права слетают у локальной учетной записи, которая создается при установке.

    1 апреля 2019 г. 0:54
  • 1. Отнюдь не устаревшая, а даже более гибкая чем Restricted Groups.

    2. Упоминаете в своём первом посте. В связи с этим и был PS - почему у вас до применения политики пользователи являются админами на рабочих станциях? Вы их туда как добавили?

    1 апреля 2019 г. 6:32