» добавить группу в local admins

HI
необхоимо принудительно вносить в группу локальных администраторов юзерских машин некую группу из AD где будут сидеть товарищи из группу тех поддержки.

Я немного не понял механизм - restricted groups у меня чистит полностью группу локальных админов, а потом добавляет туда только то что там прописано.
для нас это не метод по некоторым внутренним причинам ( к сожалению)

подскажите как это правильно реализовать?

kir128
В оснастке "управление компьютером" в группе "Локальные пользователи и группы"/"Группы" добавь имя_домена/нужная_группа в группу "Администраторы".

а если рабочих станций 100 000 штук?
не выход

kir128
http://support.microsoft.com/?id=320065
Как здесь описано поступить не пробовал?

Цитата:

Я немного не понял механизм - restricted groups у меня чистит полностью группу локальных админов

Ты делаешь Restricted Group группу Администраторы. Попробуй сделать Restricted Group группу твоих техников и установить This Group is Member of...

>Попробуй сделать Restricted Group группу твоих техников и установить This Group is Member of...

да действительно
так проканало

но есть минус - происходит это почему то один раз т.е. при удалении этой группы из группы локальных админов руками и последующим gpupdate /force или ребуте
эта группа снова не добавляется....

в чем может быть косяк?

Лучше добавлять скриптом.. часто локальными администраторами являются доменые юзеры..и если не хочется это менять рестракт групой, поможет только скрипт..

kir128

Цитата:

но есть минус - происходит это почему то один раз

Computer config\Admin. Templates\System\Group policy\
Process even if the Group Policy objects have not changed=enabled
и поставь галку на "Process even...."
По желанию можешь в том же разделе настроить более частое обновление политик, НО не перегни палку, помни, что трафик политик нагружает сеть и контроллеры.

kir128
Я делаю так, добавляю в Restricted Groups
1. Администраторы (для русской винды)
2. Administrators (для англ.)
В AD Users and Computers создаю группу Local Admins.
Потом добавляю в оба пункта "This Group is Member of" - Local Admins
Всех пользователей которых хочу сделать локальными админами, делаю членами этой группы.
Тоже делаю и с опытными пользователями...
Опытные пользователи
Power Users
---
Local Power Users

Гм, подскажи пожалуйста - а как ты добавляеш локальные группа в Restricted Groups ?
у меня туда добавляются только группы из AD Ж(

georgesitov
Руками пишу
По буквам...

Nimnul
Ты забываешь сказать, что члены твоей группы Local Admins будут админами не только на своих машинах, но и на всех тех, к которым эта policy применена.

Refugee

Цитата:

Ты забываешь сказать, что члены твоей группы Local Admins будут админами не только на своих машинах, но и на всех тех, к которым эта policy применена.

Я ничего не забываю сказать, это надо подразумевать, т.к. GPO действует на все в компьютеры в домене...

Ну другой способ вероятно скриптом добавлять отдельного пользователя в группу администраторов на конкретной машине...
(Всегда есть "LogOn to following computers")

Сделал как писал Nimnul. В итоге после применения политики все локальные админы исчезли из группы админов, кроме встроенной учетной записи администратора. Исчезли из группы админов доменные пользователи которые были добавлены в группу локальных администраторов. Получил по мозгам от юзеров Опять ручками добавил доменных юзеров в группу локальных админов. Сегодня пришел на работу опять все, что добавлял слетело. Опять получил по мозгам В политике по умолчания такого нет. Один раз добавил и потом все нормально. Как быть в таком случае?

Цитата:

>Попробуй сделать Restricted Group группу твоих техников и установить This Group is Member of...

да действительно
так проканало

что-то то ли лыжи не едут...
если я правильно понимаю, таким образом должна создаться еще одна локальная группа.
но она почему-то не создается...

Добавлено:

уже написав сообщение, наткнулся на описание примерно такой же ерунды
http://forum.citforum.ru/viewtopic.php?p=150438 (и такая же тема здесь - http://forum.ru-board.com/topic.cgi?forum=8&topic=14999)

G14, kir128 - вы указанные манипуляции на английских версиях делали?

Я решил такую проблему для себя скриптом который запих в доомэйн полиси - при закрузке компа пользователи если входят в группу локальных админов - автоматом удаляются,
ну и соответвтвенно можно твоих техников автоматом в админы прописывать, только возможно им после загрузки придётся перегрузиться - врать не буду - конкретно это не пробовал - но должно прокатить.

georgesitov

Цитата:

решил такую проблему для себя скриптом....

имхо то, что ты описываешь, как раз-таки и решается способом GPO - Restricted Gropus, собссно тема данной темы

возвращаясь к моему вопросу -

Цитата:

если я правильно понимаю, таким образом должна создаться еще одна локальная группа.
но она почему-то не создается...

трансофрмирую вопрос, ибо проблему я вроде решил, но способ реализации меня настораживает, прошу ткнуть носом где я неправильно понял идею Restricted Group...

1. Идея ограниченных групп, как я понял мелкомягких, определить ЛОКАЛЬНЫЕ группы нужных компов орг.юнита, в которые нельзя вносить локальные изменения и которые жестко задаются с домена. наверное, отсюда и название - "ограниченные", то бишь группы, которые определяются только GPO домена. А отсюда дальнейшие их рекомендации - в GPO пишется название локальной группы, в свойствах задаются пользователи либо не задаются, чтобы очищать нафиг эту группу от юзеров.

2. Как я понял из постов выше - можно прописать название не существующей на компе группы, а написать название новой и прописать Memberof - и тогда существующая локальная группа не изменится, просто допишется еще одна группа. Но как минимум на русских клиентах новая группа создаваться у меня не захотела.

3. Я в restricted group прописал не локальную группу, а глобальную доменную, например DOMAIN\Domain Admins. далее в свойствах в пользователях за ненадобновтью ничего не пишу, а вот memberof ставлю - "Администраторы". и всё работает!
Но! меня пугает опять же формулировка Майкрософта -


Цитата:

By leaving the group with the default membership of no members, you can provide additional security to groups to which you want to prevent membership. For example, you can use this method to ensure that no user accounts are members of the Guests group.

То есть что получается - если следовать логике Майкрософта, у меня должна стать пустой группа DOMAIN\Domain Admins? Не, так само собой не происходит и, следуя примитивной логике, и не может происходить.

Но.... короче, господа, я запутался. Разъясните тупому.

new4uk4a

Цитата:

1. Идея ограниченных групп, как я понял мелкомягких, определить ЛОКАЛЬНЫЕ группы нужных компов

Идея в жестком контроле члества в группах. Локальных или Active Directory - все равно, зависит от привязок объектов GP. Объекты, привязанные к домену действуют на группы AD, все остальные - на локальные группы в пределах области привязки.

Цитата:

2. Как я понял из постов выше - можно прописать название не существующей на компе группы

Назначение данных политик - контроль за членством в группах, а не создание групп.

Цитата:

Объекты, привязанные к домену действуют на группы AD, все остальные - на локальные группы в пределах области привязки.

Ув. G14, я ведь именно про это и спрашивал! (согласен, наверное я плохо сформулировал вопрос)
Вопрос мой был - не должны ли удалиться пользователи из доменной группы, раз я их не перечислил. Но пока писал ответ, вроде сам понял в чем дело. Видимо все обстоит так:
в связи с наследованием политик, если в доменной политике затронуть ограниченными группами группу локальных администраторов, то есть локальную политику, эта группа полностью затирается и вместо нее ставится группа из доменной политики; но т.к. я указываю доменную группу, такая политика не конфликтует с локальной и группа просто дописывается в локальную.

Добавлено:
...но тогда непонятно, как же работает вот это:
Цитата:

Попробуй сделать Restricted Group группу твоих техников и установить This Group is Member of...

у меня никак не получалось доменной политикой заставить создаться локальную группу... во всяком случае на русских клиентах.
или же под фразой "группа твоих техников" подразумевалась доменная группа?

new4uk4a

Цитата:

или же под фразой "группа твоих техников" подразумевалась доменная группа?

Уж конечно. Ибо создавать на каждом компьютере домена отдельно локальную группу для техников, добавлять техников в эту группу, и все это только для того, чтобы позже их (локальные группы техников) добавить в локальные же группы администраторов - бред.

Цитата:

у меня никак не получалось доменной политикой заставить создаться локальную группу

Повторяю еще раз:

Цитата:

Назначение данных политик - контроль за членством в группах, а не создание групп

Цитата:

если в доменной политике затронуть ограниченными группами группу локальных администраторов, то есть локальную политику

...и так далее...даже комментировать нечего. представления очень приблизительные....
http://ru-board.com/new/article.php?sid=174 (об областях привязки хоть представление получишь). По поводу конфликтования чего то там.... Еще раз повторяю:

Цитата:

Объекты, привязанные к домену действуют на группы AD, все остальные - на локальные группы в пределах области привязки

Как делать пошагово - ссылка на статью на офсайте есть выше.

А может быть кому-нибудь данный скрипт поможет


On Error Resume Next
Dim target
Dim grin
Dim gradd
Set fs=WScript.CreateObject("Scripting.FileSystemObject")
target=InputBox("Задайте имя домена","Ввод домена","<Введите имя домена ЗДЕСЬ>")
grin=InputBox("Задайте имя группы, В КОТОРУЮ вы хотите добавить другую группу","ЗАДАНИЕ ГРУППЫ","<Введите имя группы ЗДЕСЬ>")
gradd=InputBox("Задайте имя группы, КОТОРУЮ вы хотите добавить в другую группу","ЗАДАНИЕ ГРУППЫ","<Введите имя группы ЗДЕСЬ>")

Set domain=GetObject("WinNT://"&target)
domain.Filter = Array("Computer")
Set groupadd=GetObject("WinNT://" & target & "/" & gradd & ",group")
Set f=fs.OpenTextFile("ALL Computers.txt",2,True)
For Each Computer In Domain
f.WriteLine Computer.Name
Next
f.Close
Set f=fs.OpenTextFile("All Computers done.txt",2,True)
err.clear
For Each Computer In Domain
if Computer.Name = "MRI2-000" then
Set groupin = GetObject("WinNT://" & target & "/" & Computer.Name & "/" & grin & ",group")
groupin.Add(groupadd.ADsPath)
If Err.Number <> 0 Then
MsgBox "При попытке исполнить команду на компьютере "&Computer.Name&"Произошла ошибка. Возможно компьютер выключен или находиться вне зоны действия сети."&Chr(13)&"Номер и описание ошибки:"&Chr(13)&Err.Number&" "&Err.Description,16,"Произошла ошибка!"
f.WriteLine "ERROR " & Err.Description &" "&Computer.Name
err.clear
else
f.WriteLine Computer.Name
End If
end if

Next
f.Close
MsgBox "Задача выполнена! Смотри файлы All Computers done.txt и ALL Computers.txt для проверки",0+64, "Завершение работы"

сохранить в vbs, а дальше скрипт сам запросит домен, группу доменную, и в какую локальную группу добавлять.

"Группы с ограниченным доступом" (restricted groups) понял так:

Назначение: следить за составом локальных групп.
Пример создания политики следящей за наличием в группе администраторы только локального админа и группы домена "админы_раб_мест":

- создаем новую политику домена, навешиваем политику на контейнер с выбранными компами или ограничиваем по вкладке безопастность применение только для группы нужных компов.
- в "группы с органиченным доступом" по правой мышке создаем описание группы, скажем администраторов. Из оснастки mmc в состав группы даст прописать только доменных пользователей. Прописываем.
- смотрим в диалоге добавления скриптов автозапуска путь к файлам политики. Лезем в каталоги политики скажем Far-ом и ищем inf файл. в нем будет что-то типа
[Group Membership]
Administrators__Memberof =
Administrators__Members = администратор, домен\админы_раб_мест
Users__Memberof =
Users__Members = "домен\пользователи домена"

Имена пользователей и групп будут вероятно в системном виде S-1-5-14...

прописываем локального администратора по имени, доменных пользователей лучше оставить в кодовом/системном виде.

Проверяем работу. (сперва лучше на одном компе)
-----------------------------------------------------------------------------
возможные проблемы:
1. язык наименования группы (Administrators/Администраторы) и разные ОС - надо тестировать, в худшем случае записать в политике избыточный комплект.
2. пробелы в наименовании групп. - вроде помогают кавычки "домен\пользователи домена" или вставка системного номера.
3. ошибки при применении политики - смотреть лог системы, читать Групповые политики (Group Policy) и Interpreting Userenv log files

Hi, All!
Научите:
Все пишут - заменяет то, что было на новые, доменные. А у меня добавляет. Как затирать локальных? (Win2K3AS SP1)

Цитата:

у меня добавляет. Как затирать?

У меня политика:

Цитата:

[Group Membership]
Administrators__Memberof =
Administrators__Members = admin_local, домен\админы_раб_мест
Users__Memberof =
Users__Members = "домен\пользователи домена"

при любом начальном положении оставляет в админах только локального администратора (переименованного в admin_local, переименование тоже через ключ в политиках безопасности) и доменную группу админов.
Сервер W2003, AD, рабочие станции W2000рус

У меня также. Но возникает возможность сбросить пароль локального админа и войти уже локально, а не в домен. Можно ли от этого защититься?

Oграничение членства в группе локальных администраторов. Данный параметр тоже удобно конфигурировать через групповые политики. Свойство GPO Restricted Groups позволяет указывать, какие учетные записи должны быть членами той или иной группы. В группу локальных администраторов необходимо включить администраторов домена, а также группу, в которую входят учетные записи персонала, осуществляющего техническую поддержку компьютеров подразделения. Поскольку последний параметр может быть в каждом подразделении свой, целесообразно применять подобные политики на уровне организационного подразделения.

После настройки данных параметров пользователь с правами администратора сможет включить другого пользователя в группу администраторов только на промежуток времени между обновлениями политик.


http://security.software-testing.ru/wiki/Lokal'najaUgroza

Не читал все, но если кому то интересно : если стоит enforced на порлитике, то происходит зачитстка членства в локальных группах и установка настроенным образом с помощью ГП.

А почему не создать логон скрипт который просто добавит Domain Admins при логоне? Типа
NET LOCALGROUP Administrators(Администраторы) /ADD "DOMAIN\Domain Admins"

Цитата:

Я решил такую проблему для себя скриптом который запих в доомэйн полиси - при закрузке компа пользователи если входят в группу локальных админов - автоматом удаляются

Народ скиньте плиз такой скриптик

Я прочел тему, но не совсем понял принцип этой группы с ограниченным доступом.
Может кто нибудь окончательно резюмировать подход создания групповой политики.
Лично у меня цель следующая, дать определенному пользователю права быть локальным администратором на любом компьютере в домене. Но я не хочу чтоб пользователи на локальном компьютере входящие в состав группы Администраторы удалялись. Выражаясь проще, нужно через GPO добавить пользователя в группу локальных Администраторов, но без всяких удалений других пользователей. И еще имеет ли значение для GPO то что группы на локальных машинах могут быть или на русском или на инглише.