Задача: создать административную группу и сделать, так чтобы она входила в группу локальных Администраторов на рабочих станциях в домене.
Цель: Данная группа и учётная запись в ней будет выполнять административные функции, в частности установку ПО посредством bat-файлов.
И так у нас есть домен контроллер (dc1.polygon.local) на базе операционной системы Windows Server 2008 R2 Standard.
Заходим на домен контроллер под учётной записью обладающей правами Администратора домена (Domain Admins), в моём случае – это учётная запись – ekzorchik.
Вызываем оснастку управления и настройки групповыми политиками:
Start – Control Panel – Administrative Tools – Group Policy Management
Создаваемую политику будем создавать на организационный контейнер IT:
(Вы же можете использовать любой другой нужный Вам) и назовём её: – GPO_LocalAdmin
Создадим группу и пользователя который будет делегированным Администратором на рабочих станциях, создавать буду посредством командной строки:
Открываем командную строку с правами Администратора и набираем следующие команды:
C:\Windows\system32>dsadd user “cn=it,ou=it,dc=polygon,dc=local”
dsadd succeeded:cn=it,ou=it,dc=polygon,dc=local
C:\Windows\system32>dsmod user “cn=it,ou=it,dc=polygon,dc=local” -pwd Aa1234567
dsmod succeeded:cn=it,ou=it,dc=polygon,dc=local
C:\Windows\system32>dsmod user “cn=it,ou=it,dc=polygon,dc=local” -disabled no
dsmod succeeded:cn=it,ou=it,dc=polygon,dc=local
C:\Windows\system32>dsadd group “CN=LocalAdmin,ou=it,dc=polygon,dc=local”
dsadd succeeded:CN=LocalAdmin,ou=it,dc=polygon,dc=local
C:\Windows\system32>dsmod group “CN=LocalAdmin,ou=it,dc=polygon,dc=local” -addmbr “cn=it,ou=it,dc=polygon,dc=local”
dsmod succeeded:CN=LocalAdmin,ou=it,dc=polygon,dc=local
Приводим созданный шаблон политики к виду указанному на скриншоте ниже:
В поле Location – указан контейнер к которому привязана политика
В поле Security Filtering – указана группа Authenticated Users (Пользователи прошедшие проверку)
Открываем политику:
Делегируем созданной группе LocalAdmin права локального Администратора на рабочих станциях:
Computer Configuration (Конфигурация компьютера) – Policies (Политики) – Windows Settings (Конфигурация Windows) – Security Settings (Параметры безопасности) – Restricted Groups (Группы с ограниченным доступом)
Добавим группу:
Через Browse… указываем созданную доменную группу – LocalAdmin
Добавляем группу LocalAdmin, которая будет входить в группу Администраторов на локальной станции:
Всё готово. Чтобы применилась политика на рабочие станции пользователей, нужно поместить рабочие станции в контейнер IT , перезагрузить один раз рабочие станции. После проверим, для этого поместим рабочую станцию WXP86.polygon.local в контейнер IT, перезагрузим её и проверим, кто значится в локальных Администраторах.
C:\Documents and Settings\ekzorchik>hostname
WXP86
C:\Documents and Settings\ekzorchik>net localgroup Администраторы | find /I “Polygon”
POLYGON\Domain Admins
POLYGON\LocalAdmin
См. скриншот для наглядного понимания.
Как видим по скриншоту выше видно, что на рабочей станции в локальных администраторах присутствует группа LocalAdmin.
Результат достигнут. На этом всё, удачи!!!
Чувак! Респект тебе! Татья наинагляднейшая! Всё понятно, как день! Очень, очень классно изложил, я честно говоря даже не думал, что эта политика настолько просто реализуется. Ещё раз респект тебе!