Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» добавить группу в local admins

Автор: kir128
Дата сообщения: 26.12.2005 14:04
HI
необхоимо принудительно вносить в группу локальных администраторов юзерских машин некую группу из AD где будут сидеть товарищи из группу тех поддержки.

Я немного не понял механизм - restricted groups у меня чистит полностью группу локальных админов, а потом добавляет туда только то что там прописано.
для нас это не метод по некоторым внутренним причинам ( к сожалению)

подскажите как это правильно реализовать?
Автор: pikador
Дата сообщения: 26.12.2005 14:20
kir128
В оснастке "управление компьютером" в группе "Локальные пользователи и группы"/"Группы" добавь имя_домена/нужная_группа в группу "Администраторы".
Автор: kir128
Дата сообщения: 26.12.2005 14:23
а если рабочих станций 100 000 штук?
не выход
Автор: pikador
Дата сообщения: 26.12.2005 14:38
kir128
http://support.microsoft.com/?id=320065
Как здесь описано поступить не пробовал?
Автор: G14
Дата сообщения: 26.12.2005 17:20

Цитата:
Я немного не понял механизм - restricted groups у меня чистит полностью группу локальных админов

Ты делаешь Restricted Group группу Администраторы. Попробуй сделать Restricted Group группу твоих техников и установить This Group is Member of...
Автор: kir128
Дата сообщения: 27.12.2005 13:00
>Попробуй сделать Restricted Group группу твоих техников и установить This Group is Member of...

да действительно
так проканало

но есть минус - происходит это почему то один раз т.е. при удалении этой группы из группы локальных админов руками и последующим gpupdate /force или ребуте
эта группа снова не добавляется....

в чем может быть косяк?
Автор: abatvart
Дата сообщения: 27.12.2005 13:31
Лучше добавлять скриптом.. часто локальными администраторами являются доменые юзеры..и если не хочется это менять рестракт групой, поможет только скрипт..
Автор: G14
Дата сообщения: 27.12.2005 17:16
kir128

Цитата:
но есть минус - происходит это почему то один раз

Computer config\Admin. Templates\System\Group policy\
Process even if the Group Policy objects have not changed=enabled
и поставь галку на "Process even...."
По желанию можешь в том же разделе настроить более частое обновление политик, НО не перегни палку, помни, что трафик политик нагружает сеть и контроллеры.

Автор: Nimnul
Дата сообщения: 27.12.2005 19:08
kir128
Я делаю так, добавляю в Restricted Groups
1. Администраторы (для русской винды)
2. Administrators (для англ.)
В AD Users and Computers создаю группу Local Admins.
Потом добавляю в оба пункта "This Group is Member of" - Local Admins
Всех пользователей которых хочу сделать локальными админами, делаю членами этой группы.
Тоже делаю и с опытными пользователями...
Опытные пользователи
Power Users
---
Local Power Users
Автор: georgesitov
Дата сообщения: 31.01.2006 11:30
Гм, подскажи пожалуйста - а как ты добавляеш локальные группа в Restricted Groups ?
у меня туда добавляются только группы из AD Ж(
Автор: Nimnul
Дата сообщения: 31.01.2006 13:17
georgesitov
Руками пишу
По буквам...
Автор: Refugee
Дата сообщения: 31.01.2006 18:24
Nimnul
Ты забываешь сказать, что члены твоей группы Local Admins будут админами не только на своих машинах, но и на всех тех, к которым эта policy применена.
Автор: Nimnul
Дата сообщения: 01.02.2006 10:15
Refugee

Цитата:
Ты забываешь сказать, что члены твоей группы Local Admins будут админами не только на своих машинах, но и на всех тех, к которым эта policy применена.

Я ничего не забываю сказать, это надо подразумевать, т.к. GPO действует на все в компьютеры в домене...

Ну другой способ вероятно скриптом добавлять отдельного пользователя в группу администраторов на конкретной машине...
(Всегда есть "LogOn to following computers")
Автор: Mystical
Дата сообщения: 23.03.2006 09:46
Сделал как писал Nimnul. В итоге после применения политики все локальные админы исчезли из группы админов, кроме встроенной учетной записи администратора. Исчезли из группы админов доменные пользователи которые были добавлены в группу локальных администраторов. Получил по мозгам от юзеров Опять ручками добавил доменных юзеров в группу локальных админов. Сегодня пришел на работу опять все, что добавлял слетело. Опять получил по мозгам В политике по умолчания такого нет. Один раз добавил и потом все нормально. Как быть в таком случае?
Автор: new4uk4a
Дата сообщения: 14.04.2006 10:14

Цитата:
>Попробуй сделать Restricted Group группу твоих техников и установить This Group is Member of...

да действительно
так проканало


что-то то ли лыжи не едут...
если я правильно понимаю, таким образом должна создаться еще одна локальная группа.
но она почему-то не создается...

Добавлено:

уже написав сообщение, наткнулся на описание примерно такой же ерунды
http://forum.citforum.ru/viewtopic.php?p=150438 (и такая же тема здесь - http://forum.ru-board.com/topic.cgi?forum=8&topic=14999)

G14, kir128 - вы указанные манипуляции на английских версиях делали?

Автор: georgesitov
Дата сообщения: 14.04.2006 10:27
Я решил такую проблему для себя скриптом который запих в доомэйн полиси - при закрузке компа пользователи если входят в группу локальных админов - автоматом удаляются,
ну и соответвтвенно можно твоих техников автоматом в админы прописывать, только возможно им после загрузки придётся перегрузиться - врать не буду - конкретно это не пробовал - но должно прокатить.
Автор: new4uk4a
Дата сообщения: 14.04.2006 11:33
georgesitov

Цитата:
решил такую проблему для себя скриптом....

имхо то, что ты описываешь, как раз-таки и решается способом GPO - Restricted Gropus, собссно тема данной темы

возвращаясь к моему вопросу -

Цитата:
если я правильно понимаю, таким образом должна создаться еще одна локальная группа.
но она почему-то не создается...

трансофрмирую вопрос, ибо проблему я вроде решил, но способ реализации меня настораживает, прошу ткнуть носом где я неправильно понял идею Restricted Group...

1. Идея ограниченных групп, как я понял мелкомягких, определить ЛОКАЛЬНЫЕ группы нужных компов орг.юнита, в которые нельзя вносить локальные изменения и которые жестко задаются с домена. наверное, отсюда и название - "ограниченные", то бишь группы, которые определяются только GPO домена. А отсюда дальнейшие их рекомендации - в GPO пишется название локальной группы, в свойствах задаются пользователи либо не задаются, чтобы очищать нафиг эту группу от юзеров.

2. Как я понял из постов выше - можно прописать название не существующей на компе группы, а написать название новой и прописать Memberof - и тогда существующая локальная группа не изменится, просто допишется еще одна группа. Но как минимум на русских клиентах новая группа создаваться у меня не захотела.

3. Я в restricted group прописал не локальную группу, а глобальную доменную, например DOMAIN\Domain Admins. далее в свойствах в пользователях за ненадобновтью ничего не пишу, а вот memberof ставлю - "Администраторы". и всё работает!
Но! меня пугает опять же формулировка Майкрософта -


Цитата:
By leaving the group with the default membership of no members, you can provide additional security to groups to which you want to prevent membership. For example, you can use this method to ensure that no user accounts are members of the Guests group.


То есть что получается - если следовать логике Майкрософта, у меня должна стать пустой группа DOMAIN\Domain Admins? Не, так само собой не происходит и, следуя примитивной логике, и не может происходить.

Но.... короче, господа, я запутался. Разъясните тупому.
Автор: G14
Дата сообщения: 14.04.2006 14:39
new4uk4a

Цитата:
1. Идея ограниченных групп, как я понял мелкомягких, определить ЛОКАЛЬНЫЕ группы нужных компов

Идея в жестком контроле члества в группах. Локальных или Active Directory - все равно, зависит от привязок объектов GP. Объекты, привязанные к домену действуют на группы AD, все остальные - на локальные группы в пределах области привязки.

Цитата:
2. Как я понял из постов выше - можно прописать название не существующей на компе группы

Назначение данных политик - контроль за членством в группах, а не создание групп.
Автор: new4uk4a
Дата сообщения: 14.04.2006 18:32

Цитата:
Объекты, привязанные к домену действуют на группы AD, все остальные - на локальные группы в пределах области привязки.

Ув. G14, я ведь именно про это и спрашивал! (согласен, наверное я плохо сформулировал вопрос)
Вопрос мой был - не должны ли удалиться пользователи из доменной группы, раз я их не перечислил. Но пока писал ответ, вроде сам понял в чем дело. Видимо все обстоит так:
в связи с наследованием политик, если в доменной политике затронуть ограниченными группами группу локальных администраторов, то есть локальную политику, эта группа полностью затирается и вместо нее ставится группа из доменной политики; но т.к. я указываю доменную группу, такая политика не конфликтует с локальной и группа просто дописывается в локальную.

Добавлено:
...но тогда непонятно, как же работает вот это:
Цитата:
Попробуй сделать Restricted Group группу твоих техников и установить This Group is Member of...

у меня никак не получалось доменной политикой заставить создаться локальную группу... во всяком случае на русских клиентах.
или же под фразой "группа твоих техников" подразумевалась доменная группа?
Автор: G14
Дата сообщения: 14.04.2006 19:37
new4uk4a

Цитата:
или же под фразой "группа твоих техников" подразумевалась доменная группа?

Уж конечно. Ибо создавать на каждом компьютере домена отдельно локальную группу для техников, добавлять техников в эту группу, и все это только для того, чтобы позже их (локальные группы техников) добавить в локальные же группы администраторов - бред.

Цитата:
у меня никак не получалось доменной политикой заставить создаться локальную группу

Повторяю еще раз:

Цитата:
Назначение данных политик - контроль за членством в группах, а не создание групп



Цитата:
если в доменной политике затронуть ограниченными группами группу локальных администраторов, то есть локальную политику

...и так далее...даже комментировать нечего. представления очень приблизительные....
http://ru-board.com/new/article.php?sid=174 (об областях привязки хоть представление получишь). По поводу конфликтования чего то там.... Еще раз повторяю:

Цитата:
Объекты, привязанные к домену действуют на группы AD, все остальные - на локальные группы в пределах области привязки

Как делать пошагово - ссылка на статью на офсайте есть выше.
Автор: kazavo4ka
Дата сообщения: 04.09.2006 14:54
А может быть кому-нибудь данный скрипт поможет


On Error Resume Next
Dim target
Dim grin
Dim gradd
Set fs=WScript.CreateObject("Scripting.FileSystemObject")
target=InputBox("Задайте имя домена","Ввод домена","<Введите имя домена ЗДЕСЬ>")
grin=InputBox("Задайте имя группы, В КОТОРУЮ вы хотите добавить другую группу","ЗАДАНИЕ ГРУППЫ","<Введите имя группы ЗДЕСЬ>")
gradd=InputBox("Задайте имя группы, КОТОРУЮ вы хотите добавить в другую группу","ЗАДАНИЕ ГРУППЫ","<Введите имя группы ЗДЕСЬ>")

Set domain=GetObject("WinNT://"&target)
domain.Filter = Array("Computer")
Set groupadd=GetObject("WinNT://" & target & "/" & gradd & ",group")
Set f=fs.OpenTextFile("ALL Computers.txt",2,True)
For Each Computer In Domain
f.WriteLine Computer.Name
Next
f.Close
Set f=fs.OpenTextFile("All Computers done.txt",2,True)
err.clear
For Each Computer In Domain
if Computer.Name = "MRI2-000" then
Set groupin = GetObject("WinNT://" & target & "/" & Computer.Name & "/" & grin & ",group")
groupin.Add(groupadd.ADsPath)
If Err.Number <> 0 Then
MsgBox "При попытке исполнить команду на компьютере "&Computer.Name&"Произошла ошибка. Возможно компьютер выключен или находиться вне зоны действия сети."&Chr(13)&"Номер и описание ошибки:"&Chr(13)&Err.Number&" "&Err.Description,16,"Произошла ошибка!"
f.WriteLine "ERROR " & Err.Description &" "&Computer.Name
err.clear
else
f.WriteLine Computer.Name
End If
end if

Next
f.Close
MsgBox "Задача выполнена! Смотри файлы All Computers done.txt и ALL Computers.txt для проверки",0+64, "Завершение работы"

сохранить в vbs, а дальше скрипт сам запросит домен, группу доменную, и в какую локальную группу добавлять.
Автор: WSQ
Дата сообщения: 12.11.2006 21:57
"Группы с ограниченным доступом" (restricted groups) понял так:

Назначение: следить за составом локальных групп.
Пример создания политики следящей за наличием в группе администраторы только локального админа и группы домена "админы_раб_мест":

- создаем новую политику домена, навешиваем политику на контейнер с выбранными компами или ограничиваем по вкладке безопастность применение только для группы нужных компов.
- в "группы с органиченным доступом" по правой мышке создаем описание группы, скажем администраторов. Из оснастки mmc в состав группы даст прописать только доменных пользователей. Прописываем.
- смотрим в диалоге добавления скриптов автозапуска путь к файлам политики. Лезем в каталоги политики скажем Far-ом и ищем inf файл. в нем будет что-то типа
[Group Membership]
Administrators__Memberof =
Administrators__Members = администратор, домен\админы_раб_мест
Users__Memberof =
Users__Members = "домен\пользователи домена"

Имена пользователей и групп будут вероятно в системном виде S-1-5-14...

прописываем локального администратора по имени, доменных пользователей лучше оставить в кодовом/системном виде.

Проверяем работу. (сперва лучше на одном компе)
-----------------------------------------------------------------------------
возможные проблемы:
1. язык наименования группы (Administrators/Администраторы) и разные ОС - надо тестировать, в худшем случае записать в политике избыточный комплект.
2. пробелы в наименовании групп. - вроде помогают кавычки "домен\пользователи домена" или вставка системного номера.
3. ошибки при применении политики - смотреть лог системы, читать Групповые политики (Group Policy) и Interpreting Userenv log files
Автор: v1ct0r
Дата сообщения: 13.11.2006 21:41
Hi, All!
Научите:
Все пишут - заменяет то, что было на новые, доменные. А у меня добавляет. Как затирать локальных? (Win2K3AS SP1)
Автор: WSQ
Дата сообщения: 14.11.2006 17:27

Цитата:
у меня добавляет. Как затирать?

У меня политика:

Цитата:
[Group Membership]
Administrators__Memberof =
Administrators__Members = admin_local, домен\админы_раб_мест
Users__Memberof =
Users__Members = "домен\пользователи домена"


при любом начальном положении оставляет в админах только локального администратора (переименованного в admin_local, переименование тоже через ключ в политиках безопасности) и доменную группу админов.
Сервер W2003, AD, рабочие станции W2000рус
Автор: v1ct0r
Дата сообщения: 14.11.2006 17:33
У меня также. Но возникает возможность сбросить пароль локального админа и войти уже локально, а не в домен. Можно ли от этого защититься?
Автор: alexgbol
Дата сообщения: 21.02.2007 14:10
Oграничение членства в группе локальных администраторов. Данный параметр тоже удобно конфигурировать через групповые политики. Свойство GPO Restricted Groups позволяет указывать, какие учетные записи должны быть членами той или иной группы. В группу локальных администраторов необходимо включить администраторов домена, а также группу, в которую входят учетные записи персонала, осуществляющего техническую поддержку компьютеров подразделения. Поскольку последний параметр может быть в каждом подразделении свой, целесообразно применять подобные политики на уровне организационного подразделения.

После настройки данных параметров пользователь с правами администратора сможет включить другого пользователя в группу администраторов только на промежуток времени между обновлениями политик.


http://security.software-testing.ru/wiki/Lokal'najaUgroza
Автор: Bubenka
Дата сообщения: 24.07.2007 11:43
Не читал все, но если кому то интересно : если стоит enforced на порлитике, то происходит зачитстка членства в локальных группах и установка настроенным образом с помощью ГП.
Автор: Yegor Zolotko
Дата сообщения: 25.11.2009 11:51
А почему не создать логон скрипт который просто добавит Domain Admins при логоне? Типа
NET LOCALGROUP Administrators(Администраторы) /ADD "DOMAIN\Domain Admins"
Автор: Vados1987
Дата сообщения: 28.01.2010 08:58

Цитата:
Я решил такую проблему для себя скриптом который запих в доомэйн полиси - при закрузке компа пользователи если входят в группу локальных админов - автоматом удаляются

Народ скиньте плиз такой скриптик
Автор: serik1986
Дата сообщения: 01.06.2012 15:33
Я прочел тему, но не совсем понял принцип этой группы с ограниченным доступом.
Может кто нибудь окончательно резюмировать подход создания групповой политики.
Лично у меня цель следующая, дать определенному пользователю права быть локальным администратором на любом компьютере в домене. Но я не хочу чтоб пользователи на локальном компьютере входящие в состав группы Администраторы удалялись. Выражаясь проще, нужно через GPO добавить пользователя в группу локальных Администраторов, но без всяких удалений других пользователей. И еще имеет ли значение для GPO то что группы на локальных машинах могут быть или на русском или на инглише.

Страницы: 12

Предыдущая тема: Нне могу зайти в Kerio Winroute Firewall админом


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.