Nadawanie praw lokalnego administratora poprzez GPO – Active Directory 8

Posiadając własną domenę wraz z active directory przydatnym jest ograniczenie, lub zezwolenie konkretnym użytkownikom na bycie „lokalnymi” administratorami na komputerach.

Najłatwiejszym sposobem jest użycie Group Policy i dodanie do lokalnej grupy administratorów na każdym komputerze stworzonej przez nas specjalnej grupy.

1. Na kontrolerze domeny w ADUC tworzymy nową grupę Security (nie dodajemy żadnych członków):

2. Uruchamiamy Group Policy Management, oddnajdujemy i edytujemy domyślną Policy dla naszego OU którego podrzednym OU jest to zawierające nasze obiekty komputerów, w prostej domenie jak moja będzie to domyślne policy dla mojej domeny (Default Domain Policy).

3. W oknie edycji nawigujemy kolejno poprzez Computer Configuration > Policies > Windows Settings > Security Settings > Restricted Groups

3. Klikamy prawym i wybieramy Add Group i wskazujemy nasza stworzoną grupę Lokalni Administratorzy, po zatwierdzeniu otworzy nam się poniższe okno:

4. Aby nie nadpisać (wyczyścić) dotychczasowych zmian w grupie lokalnych administratorów na komputerach w domenie należy użyć dolnego ADD przy „This group is a member of”. Jeśli użyjemy górnej opcji to nadpiszemy wszystkie dotychczas wprowadzone zmiany na komputerach oraz domyślnych członków (takich jak Domain Administrators).

5. Klikamy dolne Add i dodaj wartość Administrators:

6. Zapisz wszystkie zmiany i po ponownym logowaniu / odświeżeniu GPO poleceniem gpoupdate /force na komputerze zmiany będą widoczne w lokalnych grupach na komputerze.

Gotowe 🙂

Linkografia:

https://wiki.samba.org/index.php/Managing_local_groups_on_domain_members_via_GPO_restricted_groups