none
Доменные групповые политики Server 2012. Локальные администраторы. Restricted Groups и GPP. RRS feed

  • Вопрос

  • Доброго времени суток.

    Не так давно создавал здесь тему, посвященную правам локального администратора, назначаемым через доменные групповые политики. Но остался ряд вопросов. Рассчитываю на вашу помощь.

    Допустим, есть OU с компьютерами, на которое распространяется политика.
    В политике запись: Restricted Groups -- добавление группы "Локальные администраторы" в "Администраторы".
    В фильтр безопасности внесены необходимые компьютеры с разрешениями на чтение и применение ГП.

    Применив политику через gpupdate /force, перезайдя, получив права локального администратора, НО, завершив сеанс и авторизовавшись под другой учетной записью (user2), входящей в группу безопасности "Локальные администраторы", мы получаем права локального администратора для пользователя user2, у которого не должно их быть в этом OU.

    Как создать наиболее гибкую систему, в которой можно было бы наделять пользователей правами локального администратора на только определенных рабочих станциях?

Ответы

  • Спасибо за помощь. Сделал так:

    Если на группу компьютеров необходимо дать права локального администратора одному пользователю -- делаю через GPP. Если для нескольких -- через Restricted Groups.

    Нашел видео по GPP, может кому будет полезно: https://www.techdays.ru/videos/1066.html

    Кстати, если вместо "Прошедшие проверку" в "Фильтрах безопасности" использовать перечисление имен ПК, то имеет ли смысл в GPP (в нацеливании) указывать имена этих же ПК через OR (ИЛИ)?

Все ответы

  • Вы напишите вопрос так, чтоб было понятно, в чем ваша проблема, пока что это похоже на набор слов.

    Итак, вы создали группу "Локальные администраторы" и добавили ее в "Администраторы" на ПК, имеете учетную запись user2, которая входит в "Локальные администраторы" (и стало быть в "Администраторы") и удивляетесь, что user2 имет административные полномочия. Объясните, что в этом не так и что вы ожидаете получить?


    MCSAnykey

  • Попробую объяснить "на пальцах" : ) 

    Есть 2 пользователя (user1 и user2), и 3 компьютера (pc1, pc2, pc3).
    Допустим, user1 должен иметь права администратора на pc1 и pc2, а пользователь user2 -- на pc3.

    На данный момент у меня user1 и user2 находятся в одной группе безопасности "Локальные администраторы", которая попадает в "Администраторы" через Restricted groups.

    Неужели для каждого пользователя необходимо создавать свою групповую политику и группу безопасности? Или это проще и правильнее сделать через GPP? 

    Каким образом правильно назначить права доступа пользователей к определенным рабочим местам с помощью групповых политик?

    P.S. Прошу прощения за создание новой темы. 


    • Изменено Slava Rossi 10 мая 2017 г. 11:07
  • В такой ситуации у вас должно быть 2 групповых политики (одна для pc1 и pc2, вторая для pc3) и две группы, которые вы будете добавлять в администраторы ПК (в одну входит user1, во вторую входит user2).

    В общем, если у вас идея на каждый комп добавить своего администратора - ну, это крайне непонятная идея и в таком случае для каждой группы компов вам нужно делать отдельную политику.

    MCSAnykey


  • Например, в одном подразделении 2 пользователя должны иметь права локального администратора на разные рабочие места, чтобы не создавать 2 группы безопасности, а всего лишь 2 политики, можно ли и безопасно ли выдавать права через GPP (параметры панели управления), то есть не добавлять группу в "Администраторы", а пользователя?

    Странно, конечно, что не продуман этот вопрос. Нашел информацию, что можно сделать с помощью скрипта.

  • Давайте проще: вы можете управлять членством в группе каким угодно способом, выбирайте сами каким: хотите, через gpo, хотите, через gpp, только вот:

    >>Нашел информацию, что можно сделать с помощью скрипта.

    Это шутка такая? Вы же понимаете, что потом сами эти костыли будете поддерживать.

    Лично я не вижу никакой проблемы сначала создать в группу AD, которую добавлять в группу локальных админов на ПК, а не напрямую юзеров туда пихать. Если вам не охота создавать группы, почитайте про простую стратегию доступа AGDLP для начала, потому как работая по той схеме, как вы предлагаете, вы немножко задолбаетесь собирать информацию о том, на какой рабочей станции пользователь админ и вообще проводить любой аудит доступов.

    >>Странно, конечно, что не продуман этот вопрос.

    Ну, это вы хотите странных вещей, а не вопрос не продуман. Групповые политики созданы не для того, чтоб каждому желающему права администратора предоставлять на компах. Если вам это реально нужно, ну так создайте единую политику, в которой будет определена группа хелпдеск или неважно кого, у кого есть права локальных администраторов на всех ПК, а ваши единичные компы, куда нужно дораздать права, вынесите в исключения этой политики , пройдитесь по ним руками, настройте членство как вам нужно и не изобретайте велосипед.


    MCSAnykey


  • Спасибо за помощь. Сделал так:

    Если на группу компьютеров необходимо дать права локального администратора одному пользователю -- делаю через GPP. Если для нескольких -- через Restricted Groups.

    Нашел видео по GPP, может кому будет полезно: https://www.techdays.ru/videos/1066.html

    Кстати, если вместо "Прошедшие проверку" в "Фильтрах безопасности" использовать перечисление имен ПК, то имеет ли смысл в GPP (в нацеливании) указывать имена этих же ПК через OR (ИЛИ)?