none
использование SID группы в групповых политиках RRS feed

Ответы

  • Проще всего вам отредактировать групповую политику с другого сервера (нужно на нём установить компонент средства управления групповой политикой) или с компьютера под соответствующей серверу версии Windows (Win8.1 для Win2012 R2, на компьютере нужно установить Remote Server Administartion Tools, загрузить их можно с сайта Microsoft): на них есть встроенная группа Опытные пользователи, так что редактор групповой политики без проблем позволит её добавить.

    Сделать в целом вам нужно следующее:

    •  создать группу в домене, в которую включить нужных пользователей;
    •  создать в политике, привязанной к домену или подразделению(OU), включающему нужные компьютеры, в разделе Computer Configuraton/Policies/Windows Settings/Secirity Settings/Restricted groups элемент для этой группы;
    •  в свойствах этого элемента указать, что эта группа является членом группы Power users (Опытные пользователи);
    •  дождаться применения политки.

    Значение SID при использовании редактора групповой политики вам ничем не поможет - он не позволяет ввести в качестве имени группы её SID (он вводится в формате *S-1-..., т.е. со звёздочкой впереди). SID вместо имени можно (и нужно) использовать, если отредактировать файл политики вручную - но это можно делать, только если вы чётко понимаете, что, как и зачем вы делаете, поэтому вам я заниматься этим не рекомендую.

    Чисто для справки - нужная политика хранится в папке шаблона политики (GPT) в файле "Machine\Microsoft\Windows NT\SecEdit\GpTmpl.inf в секции  [Group Membership], записи имеют формат

    *SID-доменной-группы__Memberof = *SID-локальной-группы[,...]

    *SID-локальной-группы, в вашем случае - это *S-1-5-32-547

    Но, ещё раз подчёркиваю: при наличии малейшей возможности редактируйте политику штатными средствами, а не вручную.


    Слава России!




    • Изменено M.V.V. _ 13 марта 2016 г. 18:06
    • Помечено в качестве ответа Alex_1986 20 марта 2016 г. 12:16
    13 марта 2016 г. 18:04

Все ответы

  • Подскажите пожалуйста, а что вы, собственно, хотите сделать?


    Слава России!

    13 марта 2016 г. 13:21
  • я хочу через групповые политики сделать так, чтобы группе доменных пользователей автоматически выставлялись права "опытные пользователи" (power users), но так как на домене нет такой группы и аналогов ей. Я нашел, что для работы с этой группой через политики достаточно использовать ее SID - S-1-5-32-547. Этот SID относится к так называемым well known SIDs, и он одинаковый для всех компьютеров под управлением ОС Windows.

    вот ссылка на источник:

    https://social.technet.microsoft.com/Forums/ru-RU/98a4bf92-c381-4e41-9a18-4bb0dc855064/-?forum=WS8ru

    Подскажите пожалуйста подробней как это реализовать ответ от 11 марта 2016 г. 23:33?
    • Изменено Alex_1986 13 марта 2016 г. 16:00
    13 марта 2016 г. 15:59
  • Проще всего вам отредактировать групповую политику с другого сервера (нужно на нём установить компонент средства управления групповой политикой) или с компьютера под соответствующей серверу версии Windows (Win8.1 для Win2012 R2, на компьютере нужно установить Remote Server Administartion Tools, загрузить их можно с сайта Microsoft): на них есть встроенная группа Опытные пользователи, так что редактор групповой политики без проблем позволит её добавить.

    Сделать в целом вам нужно следующее:

    •  создать группу в домене, в которую включить нужных пользователей;
    •  создать в политике, привязанной к домену или подразделению(OU), включающему нужные компьютеры, в разделе Computer Configuraton/Policies/Windows Settings/Secirity Settings/Restricted groups элемент для этой группы;
    •  в свойствах этого элемента указать, что эта группа является членом группы Power users (Опытные пользователи);
    •  дождаться применения политки.

    Значение SID при использовании редактора групповой политики вам ничем не поможет - он не позволяет ввести в качестве имени группы её SID (он вводится в формате *S-1-..., т.е. со звёздочкой впереди). SID вместо имени можно (и нужно) использовать, если отредактировать файл политики вручную - но это можно делать, только если вы чётко понимаете, что, как и зачем вы делаете, поэтому вам я заниматься этим не рекомендую.

    Чисто для справки - нужная политика хранится в папке шаблона политики (GPT) в файле "Machine\Microsoft\Windows NT\SecEdit\GpTmpl.inf в секции  [Group Membership], записи имеют формат

    *SID-доменной-группы__Memberof = *SID-локальной-группы[,...]

    *SID-локальной-группы, в вашем случае - это *S-1-5-32-547

    Но, ещё раз подчёркиваю: при наличии малейшей возможности редактируйте политику штатными средствами, а не вручную.


    Слава России!




    • Изменено M.V.V. _ 13 марта 2016 г. 18:06
    • Помечено в качестве ответа Alex_1986 20 марта 2016 г. 12:16
    13 марта 2016 г. 18:04
  • кстати да, забыл упомянуть что я вкорячивал сид непосредственно в шаблоны (кстати фишка с сидом помогает, в случае глюков связанных с разной языковой локалью).

    кстати да, забыл упомянуть что вообще то билтинными группами еще можно управлять через GPP.


    • Изменено Svolotch 14 марта 2016 г. 11:25
    14 марта 2016 г. 11:24