Групповые политики на контроллере домена и внутри домена
 

Добрый день, Друзья :)

Есть домен 2003 r2 sp2.
Там есть 5 администраторов домена, было создано подразделение и внутри все пользователи тоже являются администраторами домена, но на OU прикручена политика, где запрещены те права, которые им не нужны.

Сейчас появилась такая необходимость.
Все пользователи остаются администраторами домена, необходимо сделать их пользователями домена, но при этом на своем собственном компьютере они должны делать то, что им захочется, то есть стать локальными администраторами.

Были мысли вручную добавлять всех пользователей на каждый компьютер в локальные администраторы, но это как-то не так...

Может как-то можно сделать так, чтобы через GPO это осуществить?
Спасибо :)

Проще всего - через групповую политику добавить группу Domain Users в локальную группу Administrators
Но как-то это слишком просто и обширно )

Какую именно локальную группу вы имеете ввиду? на каждой конкретной машине? или built-in ?
Встроенные на сервере - в эту группу входят и Domain admins...

Каждому такому компьютеру - по OU, на него - по своему ГПО, в этом ГПО настроить ограниченное членство в группе "Администраторы".

Емнип, built-in Администраторы на КД и локальная одноименная группа имеют один и тот же SID, так что все зависит от того, к чему Вы ГПО прикрепите.

Restricted Groups настраивайте.
Сочувствую Вашей некомпетентности в вопросах администрирования сетей (домена в данном случае).

Спасибо за ваше мнение.
Буду учиться дальше.

Или куча GPO с фильтрацией применения политики на отдельно взятый компьютер

Но имхо будет все-таки быстрее соорудить батник с кучей строк типа
psexec \\COMPUTERNAME net localgroup Administrators DOMAINNAME\username /ADD

psexec брать из набора утилит sysinternals

а если пользователи мигрируют.
У меня их 20 штук, машин где то 16.
Немерянное количество строчек же получится.
А хотя, ведь это единократный запуск - верно?
Действительно, будет удобно.
Спасибо!

monkkey, попробовал Restricted Groups.
Делал вот так:
1. Создал OU.
2. Создал пользователя user члена группы Domain Users.
3. Создал в OU группу localadmins. (user стал членом этой группы - Primary Grpoup: Domain Users)
4. Добавил компьютер TEST в этот OU.
5. На OU поставил политику localadmins, в ней произвел следующее:
а) В Restricted Groups добавил руками группу Администраторы
б) В свойствах "Администраторов" выставил Группа является членом группы LocalAdmins.
6. выполнил gpupdate /force.
7. Перезагрузил компьютер, на котором требовалось произвести тестирование.
-------------------------------------------------------------------------------------------------------------
Итак, что я имею:
1. По сети не могу доменным админом зайти на текущий ПК.
2. Ни один из текущих админов, кроме локального Администратора этого ПК больше админом не является.

Подскажите, где я допустил ошибку.
Спасибо.

Так как вы прописали, что адинистратором компьютра является только группа locladmin, все остальные соответственно потеряли это право. Итого добавте в группу администраторов дополнительных членов аля Администратор и Domain Admin.

GreenIce, я немного не понимаю механизм Restricted Groups...
Сделать Администраторами еще и группу в GPO localadmins Domain Admins?

Механиз прост, всех кого вы указали в группе ограниченного доступа, пропишутся в данной группе.
Т.е. вы создаете делаете Restricted Group для группы Администраторы и прописываете в ней определенные пользователи, группы. И в итоге на компьютере к которому будет применена эта политика в групе Администраторы сотрутся все записи которые там были и пропишутся те которые вы указали в политике.

В вашей ситуации насколько я понял вы создали restict для группы Администраторы и прописали в ней только одну группу localadmin. Соответственно на компьютере test в группе Администраторы прописалась только одна группа localadmin (можете проверить, локально зайти кем нибудь и посмотреть членов группы), так как администратор домена не входит в эту группу, соответственно удаленное администрирование стало недоступным, ну и соответственно локальный пользователь Администратор и иже с ними тоже потеряли такую привелегию.

Механизм очень простой: членами указанной группы будут ТОЛЬКО те пользователи/группы, которые Вы укажете в соответствующей политике.
Все остальные - удалятся из указанной группы.

Предвидя вопросы, скажу: через restricted groups НЕЛЬЗЯ добавить членов группы - можно только указать её полное членство.
Для добавления кого-то в имеющуюся группы - используйте net localgroup ... /add

Подводя итог:
мне нужно проделать то что я описывал выше и добавить в Администраторы Domain Admins?

Нет, нужно добавить в restricted group Администраторы, группу Domain Admins и пользователя Администратор.
Итого там должно получится три записи LocalAdmin, Domain Admins и Администратор.

Странно, но почему-то те пользователи домена, что были там ранее администраторами на машине(они администраторы домена), перестали быть администраторами.
Прилагаю скриншот - (может я все не так понял).
Уж простите, первый раз с этим работаю, не все понимаю.

Комментарии по скриншоту:

Test - OU.
В нем localadmins - группа, созданная мной - в ней пока только один пользователь user.(он имеет primary group: Domain Users, вторая группа Localadmins)
--------------------------------
Localadmins - член этой группы - user, а сама группа должна входить в какую то группу?

Остальное думаю понятно :)



Спасибо заранее ;)

прочитайте внимательно следующую фразу:
Таким образом, всё что раньше было в локальной группе "администраторы" на рабочей станции - уничтожилось и заменилось тем, что указано в политике.
Если человек является членом любой из приведенных на скриншоте групп, то он будет иметь права локального администратора.
Правда, возможно, после применения политики ему придется перелогиниться: членство в группах и соответствующие права "просчитываются" во время логона, и если он залогинился перед первым применением политики - то никаких прав у него до перелогинивания не будет.

HLT, получается, на скриншоте я все сделал верно и все те, кто входит в группу Администраторы Домена будут и локальными администраторами?

На скриншоте нужно в верхний список, а не в нижний.

угу. перенести из нижнего списка в верхний, при этом из нижнего списка удалить

А там и нельзя сразу в оба списка добавить. Либо туда, либо туда.
Спасибо, основную ошибку увидел, буду пробовать.
Потом оформлю.

Не хочу создавать отдельную тему ибо вопрос небольшой.
Что значит восклицательный знак на групповой политики. Если я правильно понял, то это конфликт какой-то, как определить в чем проблема?
Заранее спасибо за помощь :)

XXXandr,
Это значит, что блокировано наследование вышестоящей политики.