none
Группа локальных администраторов на рядовых серверах домена. RRS feed

  • Вопрос

  • Доброго времени суток Уважаемые коллеги!

    Есть специализированная группа для тех.поддрежки, которая является членом группы локальных администраторов на всех серверах и ПК домена. То есть задана GPP политика на пользователя, которая добавляет определенную группу в группу локальных администраторов.

    Стоит задача, сделать так, что бы данная политика не распространялась на некоторое количество рядовых серверов в домене. 

    Вопрос: Подскажите, как то можно это сделать не прибегая к глобальным изменениям ? 

    Спасибо!


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

Ответы

  • 1. Если у вас политика на пользователя и вы хотите дальше с ней жить, то без лупбека не обойтись.

    2. По-хорошему эта политика должна на компьютеры/сервера применяться, а не на пользователей.

    • Помечено в качестве ответа rеstless 9 июня 2020 г. 5:31
  • Включить Loopback policy, создать группу для таких серверов и выставить в Delegation для такой группы "Apply Group Policy" = Deny.

    Loopback-то тут причем? Включение в локальную группу - это политика компьютера.

    Стнадартный способ ограничения области применения политики - сделать политику с более высоким приоритетом (привязанную ниже по иерархии или более предпочтительноую на том же уровне), которая перекрывает ненужную политику, и назначить её нужным серверам: либо вынести их в отдельную OU, к которой привязана перекрывающая политика, либо включив в группу безопасности и сделав фильтрацию политики для этой группы безопасности.

    А если включение в группу делается с помощью GPP (включение можно ещё делать с помощью Restricted Groups), то можно ещё и использовать нацеливание в свойствах предпочтений.


    Слава России!

    • Помечено в качестве ответа rеstless 9 июня 2020 г. 5:31
    8 июня 2020 г. 14:45
  • Пк и серверы живут в разных OU. Политика прилинкована только для OU с пользователями и ПК в каждом своем OU. На OU c серверами данная политика не применяется, но это не мешает добавлять группу безопасности  в группу локальных админов на всех серверах. прилинковывай/отлинковывай не возымеет никакого результата.

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    https://technethub.com/add-an-active-directory-user-to-the-local-administrators-group-using-group-policy-gpo/

    Покажите GPResult\RSOP на котором видно что политика применяется к серверам на которые она не прилинкована


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа rеstless 9 июня 2020 г. 5:31
    Модератор

Все ответы

  • Включить Loopback policy, создать группу для таких серверов и выставить в Delegation для такой группы "Apply Group Policy" = Deny.
  • много вариантов которые зависят от структуры домена

    если пк живут в отдельных ou, то отлинкуйте политику от домена и прилинкуйте на необходимые ou с пк и необходимыми серверами

    если пк и сервера храните в разных группах (например PC1stFlour, TermServers, ServersBuh итд), то в Security Filtering можете снять галку у Authenticated Users на применение политики оставив чтение, и добавив нужные группы

    можете настроить wmi filtering и применять подитику на пк имена которых не совпадают с каким-то списком

    если все плохо, и все пк, сервера и пользователи являют собой равномерную кашу, то через Sec.Filter. можете добавить запрет на применение политики тем выбранным серверам

    "Хорошесть" решений спадает сверху вниз


    The opinion expressed by me is not an official position of Microsoft

    Модератор
  • Пк и серверы живут в разных OU. Политика прилинкована только для OU с пользователями и ПК в каждом своем OU. На OU c серверами данная политика не применяется, но это не мешает добавлять группу безопасности  в группу локальных админов на всех серверах. прилинковывай/отлинковывай не возымеет никакого результата.

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

  • Пк и серверы живут в разных OU. Политика прилинкована только для OU с пользователями и ПК в каждом своем OU. На OU c серверами данная политика не применяется, но это не мешает добавлять группу безопасности  в группу локальных админов на всех серверах. прилинковывай/отлинковывай не возымеет никакого результата.

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    https://technethub.com/add-an-active-directory-user-to-the-local-administrators-group-using-group-policy-gpo/

    Покажите GPResult\RSOP на котором видно что политика применяется к серверам на которые она не прилинкована


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа rеstless 9 июня 2020 г. 5:31
    Модератор
  • Включить Loopback policy, создать группу для таких серверов и выставить в Delegation для такой группы "Apply Group Policy" = Deny.

    этож вроде компьютерная политика, зачем тогда лупбек включать?

    меня тут осенило после вашего коммента и ответа restless что лупбек итак включен, и его было бы неплохо выключить и налинковать политики на нужные OU вместо замыкания :)


    The opinion expressed by me is not an official position of Microsoft

    Модератор
  • Включить Loopback policy, создать группу для таких серверов и выставить в Delegation для такой группы "Apply Group Policy" = Deny.

    этож вроде компьютерная политика, зачем тогда лупбек?

    The opinion expressed by me is not an official position of Microsoft

    В том то и дело, что это пользовательская политика у нас:

    Я не знаю почему так было сделано ранее, но судя по логике, проще данную политику сделать на компьютер и назначить на OU рабочих станций и на те сервера , на которые необходимо.

    А сейчас выходит так, что при любом логине на любое устройство я получаю локального администратора...


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

  • Включить Loopback policy, создать группу для таких серверов и выставить в Delegation для такой группы "Apply Group Policy" = Deny.

    этож вроде компьютерная политика, зачем тогда лупбек включать?

    меня тут осенило после вашего коммента и ответа restless что лупбек итак включен, и его было бы неплохо выключить и налинковать политики на нужные OU вместо замыкания :)


    The opinion expressed by me is not an official position of Microsoft

    Лоупбэк по умолчанию  в политиках не включен..

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!


    • Изменено rеstless 8 июня 2020 г. 6:55
  • перепроверьте лупбек так как этого параметра просто нет в пользовательском разделе груповых политик (или у меня сильно просело зрение)

    вы правы по умолчанию лупбек не включен

    upd: у меня таки просело зрение :( и действительно такая ветка есть


    The opinion expressed by me is not an official position of Microsoft


    Модератор
  • Ну вот как вариант, либо назначить политику на ПК и прилинковать ее к OU WKS- что бы ПК получили администраторов + прилинковать на OU тех серверов , которым требуется данная политика. 

    Убрать из пользовательской политики.

    И еще у меня второй вопрос. Есть OU в данном оу находятся сотрудники ИТ и админские учетки. На OU всего IT назначена пользовательская политика GPP мапинга диска. Для подчиненного OU- там где находятся админы я блокировал наследование политики мапинга диска, но все равно мапинг при логоне админской учеткой отрабатывается на некоторых серверах. Я так понимаю GPP работает по принципу "татуировки", то есть если один раз данная политика была применена, то  ее необходимо в явном виде отменять ? То есть отключить мапинг диска и уже затем повторно назначить политику. А на те OU где указана блокировка, данная политика уже не будет действовать ?


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

  • 1. Если у вас политика на пользователя и вы хотите дальше с ней жить, то без лупбека не обойтись.

    2. По-хорошему эта политика должна на компьютеры/сервера применяться, а не на пользователей.

    • Помечено в качестве ответа rеstless 9 июня 2020 г. 5:31
  • 1. Если у вас политика на пользователя и вы хотите дальше с ней жить, то без лупбека не обойтись.

    2. По-хорошему эта политика должна на компьютеры/сервера применяться, а не на пользователей.

    Cогласен, поэтому сижу и разгребаю все это счастье. Так и сделаю, главное что бы политика на рабочие станции не глюканула при переназначении на ПК....

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

  • Решил пока таким образом- политика на компьютер с добавлением в группу администраторов необходимую группу и remove существующей.

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    8 июня 2020 г. 13:14
  • Включить Loopback policy, создать группу для таких серверов и выставить в Delegation для такой группы "Apply Group Policy" = Deny.

    Loopback-то тут причем? Включение в локальную группу - это политика компьютера.

    Стнадартный способ ограничения области применения политики - сделать политику с более высоким приоритетом (привязанную ниже по иерархии или более предпочтительноую на том же уровне), которая перекрывает ненужную политику, и назначить её нужным серверам: либо вынести их в отдельную OU, к которой привязана перекрывающая политика, либо включив в группу безопасности и сделав фильтрацию политики для этой группы безопасности.

    А если включение в группу делается с помощью GPP (включение можно ещё делать с помощью Restricted Groups), то можно ещё и использовать нацеливание в свойствах предпочтений.


    Слава России!

    • Помечено в качестве ответа rеstless 9 июня 2020 г. 5:31
    8 июня 2020 г. 14:45
  • У нас было сделано именно почему то при помощи GPP и назначено на пользователя. На данном этапе сделал "выдавливанием", то есть сделал GPP политику на компьютер с параметром remove this group из локальной группы администраторов и привязал ее к нужному серверу.

    В дальнейшем переназначу GPP политику для локальных администраторов рабочих станций и серверов на компьютеры , а не на пользователей как сейчас.- то есть пока неясно, зачем предыдущий админ сделал именно так...


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    8 июня 2020 г. 15:37
  • Всем спасибо за содействие!

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!