none
GP: Использование Restricted Groups RRS feed

  • Вопрос

  • Коллеги,
    имеем инфраструктуру AD.
    Как известно, для добавления в локальные группы безопасности компьютеров-членов домена той или иной глобальной группы удобно использовать такую настройку GP как "Restricted Groups".

    Вопрос: есть ли способ с помощью создания GPО, применяемого к станциям наоборот - убрать необходимую доменную группу, которая ранее была добавлена таким образом?

    Просто удалить ее из "Restricted Groups" эффекта не дает, что ожидаемо.
    20 марта 2009 г. 10:40

Ответы

Все ответы

  • Ожидаемо? Уберите члена из состава такой группы в политике - член исключится из группы после применения политики.



    Спасибо моей работе, TechNet'у, блогам специалистов, моей жене Кате, Козлову С.В., Муравлянникову Н.А., Шапиро Л.В. за мои знания!

    20 марта 2009 г. 11:23
    Отвечающий
  • А разве не ожидаемо?
    Поправьте , если я не прав. Глобальные группы, указанные в Restricted Groups лишь добавляются в локальную группу безопасности на станции. То есть, после этого, появившаяся таким образом в локальной группе "Компутер\Администраторы" доменная группа "ДОМЕН\ГРУППА" ничем не будет отличаться от того, как если бы ее добавили вручную? Таким образом, на основании чего, если ее удалить из "Restricted Groups" она должа удалиться из локальных админов? Или есть основания и группа добавленная с помощью полиси и вручную как-то по разному сохраняются в этих случаях?

    Более, того, опыты подтвержадют, что этого не происходит. В RSoP на станции я вижу, что применился обновленный мною GPO, в котором в "Restricted Groups" уже нет "ДОМЕН\ГРУППА", но в локальной группе "Администраторы" она осталась целехонькой.

    Add: Или же имеется в виду, что при использовании Restricted Group локальная группа безопасности перезаписывается только теми группами, которые указаны в политике, но ведь это не так...
    20 марта 2009 г. 13:03
  • Хотя действительно (http://technet.microsoft.com/en-us/library/cc785631.aspx), локальная группа должна именно перезаписываться членами указанными, в Restricted Groups.
    Беру свои слова обратно, но почему-то этого не происходит :)
    Да, интересно, а при этом что делается с дефолтным локальным админом и группой Domain Admins, которые по умолчанию будут находиться в группе "Администраторы" если я их, например, забыл указать в Restricted Groups. Они же не должны удалиться ни при каких условиях?
    20 марта 2009 г. 13:32
  • <...>


    Спасибо моей работе, TechNet'у, блогам специалистов, моей жене Кате, Козлову С.В., Муравлянникову Н.А., Шапиро Л.В. за мои знания!
    • Предложено в качестве ответа Dmitry PonomarevEditor 20 марта 2009 г. 16:27
    • Изменено Dmitry PonomarevEditor 20 марта 2009 г. 22:07
    • Отменено предложение в качестве ответа Andrey Kh._ 21 марта 2009 г. 5:47
    20 марта 2009 г. 16:27
    Отвечающий
  • Разобрался, вопрос снят! :)
    Все дело было в различии действий при использовании "Members of this group" и "This group is a member of" в политике Restricted Groups.
    Для полного замещения членства локальной группы необходимо использовать "Members of this group",
    а для просто добавления глобальной группы в локальную - "This group is a member of".

    Спасибо всем, особенно топику:
    http://social.technet.microsoft.com/forums/ru-RU/windowsserverru/thread/b92c85c2-2143-40ff-8d7c-a97c49398737/

    и следующей статье, где все очень подробно описано:
    http://www.windowsecurity.com/articles/Using-Restricted-Groups.html
    • Помечено в качестве ответа Andrey Kh._ 21 марта 2009 г. 5:48
    20 марта 2009 г. 18:35