Делегируем права администратора на рабочий станции средствами GPO в Active Directory.

Posted by

Задача: создать административную группу и сделать, так чтобы она входила в группу локальных Администраторов на рабочих станциях в домене.

Цель: Данная группа и учётная запись в ней будет выполнять административные функции, в частности установку ПО посредством bat-файлов.

 

И так у нас есть домен контроллер (dc1.) на базе операционной системы Windows R2 Standard.

Заходим на домен контроллер под учётной записью обладающей правами Администратора домена (Domain Admins), в моём случае — это учётная запись – ekzorchik.

 

Вызываем оснастку управления и настройки групповыми политиками:

Start Control PanelAdministrative ToolsGroup Policy Management

Создаваемую политику будем создавать на организационный контейнер IT:

(Вы же можете использовать любой другой нужный Вам) и назовём её: — _LocalAdmin

Создаём групповую политику: GPO_LocalAdmin

 

 

 

Создадим группу и пользователя который будет делегированным Администратором на рабочих станциях, создавать буду посредством командной строки:

Открываем командную строку с правами Администратора и набираем следующие команды:

C:\Windows\system32>dsadd user «cn=it,ou=it,dc=polygon,dc=local»

dsadd succeeded:cn=it,ou=it,dc=polygon,dc=local

C:\Windows\system32>dsmod user «cn=it,ou=it,dc=polygon,dc=local» -pwd Aa1234567

dsmod succeeded:cn=it,ou=it,dc=polygon,dc=local

C:\Windows\system32>dsmod user «cn=it,ou=it,dc=polygon,dc=local» -disabled no

dsmod succeeded:cn=it,ou=it,dc=polygon,dc=local

C:\Windows\system32>dsadd group «CN=LocalAdmin,ou=it,dc=polygon,dc=local»

dsadd succeeded:CN=LocalAdmin,ou=it,dc=polygon,dc=local

C:\Windows\system32>dsmod group «CN=LocalAdmin,ou=it,dc=polygon,dc=local» -addmbr «cn=it,ou=it,dc=polygon,dc=local»

dsmod succeeded:CN=LocalAdmin,ou=it,dc=polygon,dc=local

 

Приводим созданный шаблон политики к виду указанному на скриншоте ниже:

В поле Location – указан контейнер к которому привязана политика

В поле Security Filtering – указана группа Authenticated Users (Пользователи прошедшие проверку)

Приводим политику согласно предоставленному скриншоту.

 

Открываем политику:

Открываем политику для редактирования.

 

 

 

Делегируем созданной группе LocalAdmin права локального Администратора на рабочих станциях:

Computer Configuration (Конфигурация компьютера) – Policies (Политики)  – Windows Settings (Конфигурация Windows)  – Security Settings (Параметры безопасности)  – (Группы с ограниченным доступом)

Добавим группу:

Добавим группу.

 

 

Через Browse… указываем созданную доменную группу — LocalAdmin

Указываем нашу доменную группу.

 

 

 

 

 

Добавляем группу LocalAdmin, которая будет входить в группу Администраторов на локальной станции:

Добавляем нашу группу в локальные администраторы на рабочей станции.

 

 

 

 

 

 

 

 

Всё готово. Чтобы применилась политика на рабочие станции пользователей, нужно поместить рабочие станции в контейнер IT , перезагрузить один раз рабочие станции. После проверим, для этого поместим рабочую станцию WXP86.polygon.local в контейнер IT, перезагрузим её и проверим, кто значится в локальных Администраторах.

C:\Documents and Settings\ekzorchik>hostname

WXP86

C:\Documents and Settings\ekzorchik>net localgroup Администраторы | find /I «Polygon»

POLYGON\Domain Admins

POLYGON\LocalAdmin

См. скриншот для наглядного понимания.

Проверка наличия доменной группы в локальных Администраторах.

 

Как видим по скриншоту выше видно, что на рабочей станции в локальных администраторах присутствует группа LocalAdmin.

Результат достигнут. На этом всё, удачи!!!

One comment

  1. Чувак! Респект тебе! Татья наинагляднейшая! Всё понятно, как день! Очень, очень классно изложил, я честно говоря даже не думал, что эта политика настолько просто реализуется. Ещё раз респект тебе!

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *

20 − десять =