Мне довелось работать в одной конторе где приемом и подбором персонала занимается по непонятным причинам отдел маркетинга и экономист, отдел HR
— не умеет этого делать, как она призналась на вопрос почему она этого не делает. Странно и смешно. Ладно это небольшое отступление, хуже всего что на должность третьего системного администратора взяли человека в возрасте 43
лет и без какой-либо практической деятельности в области системного администрирования. Видимо какого-то своего. По сути это вообще не мое дело, но выдать права «Администратора домена
» и т.д я не могу в силу неуверенности, что он все не обрушит. А потому я когда-то, правда на Windows Server 2008 R2
настраивал групповую политику где определенным доменным пользователям предоставлялись права локального администратора. Вот такую штуку я хочу на текущем месте и здесь применительно к Windows Server 2012 R2
Итак, как всегда на помощь в тестировании приходит мой домен: polygon.local
Шаг №1: Создаю в домене группу LocalAdmin
и помещаю в нее доменную учетную запись: alektest
Шаг №2: Создаю GPO: GPO_LocalAdmin
Computer Configuration — Policies — Windows Settings — Security Settings — Restricted Groups — Add Group
— и набираю Administrators
и нажимаю OK
окна Add Group
, затем в настройке (Members of this group:
) нажимаю Add
и указываю какие группы будут входить в группу Administrators (Администраторы): Browse:
LocalAdmin & Domain Admins
Должно получиться вот так:
Т.к. я тестирую политику то ее лучше ограничить на определенный компьютер, а не как по умолчанию при создании групповой политике:
Authenticated Users (Прошедшие проверку)
вкладка Scope
:
Location:
polygon.local
Security Filtering:
W10X64
вкладка Delegation
:
добавить Authenticated Users
с правами Read
.
Шаг №3: Теперь нужно перезагрузить рабочую станцию W10X64
и после авторизовавшись под Domain Admins
проверить, какие группы вхожи в локальную группу Administrators (Администраторы)
Так настройки групповой политики работают.
Шаг №4: Чтобы не перечислять или создавать группу со включенными в нее компьютерами на которые нужно добавить группу LocalAdmin
(в нее я включил этого третьего в кавычках «Системного администратор
», я сделал для работы GPO wmi-фильтр
со следующим содержанием:
Group Policy Management — Forest: polygon.local — Domains — polygon.local — WMI Filters — New
Name:
W7W8W8.1W10Station
Description:
Windows 7 — 10 Desktop
(Queries ) - Add
— и запрос вот такой вот:
select * from Win32_OperatingSystem WHERE ProductType = "1"
Теперь в политике делаю ограничение по безопасности вместо отдельного компьютера W10X64
на «Authenticated Users
» + включаю WMI Filtering: W7W10Station
Теперь политика применяется ко всем рабочим станциям в домене и проверка идет на уровне WMI-фильтра. Почему я делаю через WMI-фильтр, а не как-то по иному ведь есть такой функционал, а просто у меня был опыт когда уровень домена это Windows Server 2008 R2
, но используются и Windows Server 2012 R2
в качестве домен контроллеров и новые навороты не работают. Не суть.
Итого, заметка работоспособна и настраивалась на последнем месте работы с целью обезопасить работу не-системного администратора. Доступ на рабочие станции имеет и ладно, на сервера нет. Права нужно заработать, а не выдавать всем и вся только если занял должность. На этом я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.