Создание и управление локальными группами на серверах и компьютерах

Published on Февраль 3, 2009 by   ·   Комментариев нет

Сколько компьютеров Windows содержит ваша компания? Сколько серверов используется в вашей компании для размещения приложений, файлов, принтеров и т.д.? Теперь подумайте, вам необходимо контролировать все локальные группы, расположенные на этих компьютерах и серверах. Уверен, что многие из вас ответили, что в компании есть более 1000 десктопов и серверов. Это довольное большое число, учитывая, что некоторые серверы могут быть расположены удаленно, а некоторые компьютеры могут быть ноутбуками, путешествующими по всей стране или миру. Если вы хотите создать локальные группы на всех этих машинах, как вы это делаете? С помощью сценариев? А что, если вам необходимо убедиться в том, что локальная группа администраторов должна иметь определенные группы домена, такие как, например, администраторы домена? Сколько времени потребуется, чтобы убедиться, что все эти параметры настроены полностью? Благодаря новым привилегиям групповой политики (GPP) эти задачи становятся простыми, и можно быть уверенным, что параметры будут применены ко всем компьютерам и серверам, для которых они предназначены.

Основы привилегий групповой политики

GPP – это новый тип параметров объекта групповой политики (GPO), который доступен на серверах Windows Sever 2008 или клиентах Windows Vista SP1. Чтобы не докучать вам подробностями о привилегиях групповой политики, но все же дать достаточно информации для контролирования локальных групп, позвольте мне в общих чертах рассказать, что вам нужно, чтобы все работало.

Для администрирования GPP у вас должен быть сервер Windows Server 2008 ИЛИ клиент Windows Vista, на котором установлен SP1 и RSAT. На обеих этих средах устанавливается консоль управления групповой политикой (Group Policy Management Console — GPMC), которая требуется для управления GPP. Можете посмотреть мою статью о Vista и RSAT на Microsoft Remote Server Administration Tools for Windows Vista.

Далее, у вас должно быть установлено расширение клиентской стороны (CSE) на ваших Windows XP SP2, Windows Server 2003 SP1 и Windows Vista SP1 компьютерах. Вы можете скачать его с сайта компании Microsoft и установить вручную (Windows Server Group Policy Home), или получить его со своего сервера WSUS. После того как вы установили CSE, эти компьютеры (и ваш сервер Windows Server 2008, на котором CSE установлено по умолчанию) готовы к получению параметров GPP.

Наконец, вам нужно лишь создать, связать и настроить GPO, который будет связан с организационным подразделением, содержащим целевые компьютеры или пользователей. Настройте GPP, которые хотите задать, и все.

Для дополнительной информации о GPP смотрите Windows Server Group Policy Home.

Создание новых локальных групп

Создание новой локальной группы на множестве компьютеров может быть устрашающей задачей. GPP предоставляет простой способ для выполнения этой задачи практически на всех ваших компьютерах и серверах Windows. Вы можете создать локальную группу на сервере или компьютере путем выбора объекта компьютера или пользовательского объекта. В большинстве случаев, когда нужно создать новую локальную группу, выбираются компьютерные объекты.

Для выполнения этой задачи, создайте и свяжите GPO с организационной единицей, содержащей целевой компьютерный или пользовательский объект. Отредактируйте GPO и разверните Конфигурация компьютера | Привилегии | Параметры панели управления | Локальные пользователи и группы. Нажмите правой клавишей на Локальных пользователях и группах, затем выберите Новая – Локальная группа. Это откроет диалоговое окно Новой локальной группы, как показано на рисунке 1.

Создание новой группы server 2003

Рисунок 1: Диалоговое окно новой локальной группы при выборе учетной записи компьютера

Для создания новой группы, выберите опцию Создать из списка Действия. Затем впишите название локальной группы, ее описание и т.д. На рисунке 2 приведен пример создания новой локальной группы под названием LocalHelpDesk.

Создание новой группы server 2003

Рисунок 2: Новая локальная группа под названием LocalHelpDesk создана с помощью GPP

Изменение принадлежности к локальной группе с помощью GPP

Независимо от того создаете ли вы новую локальную группу или изменяете уже существующую, вы можете управлять принадлежностью к локальной группе с помощью GPP. Хотя эту задачу можно выполнить с помощью ограниченных групп (Restricted Groups), которые находились в групповой политике в течение некоторого времени (Конфигурация компьютера | Параметры Windows | Настройки безопасности | Локальные политики | Ограниченные группы), использование GPP для выполнения этой задачи обеспечивает более многогранный контроль.

Ограниченные группы представляли собой настройку ‘удалить и заменить’, которая брала текущий список членов группы и удаляла их, прежде чем заменить их списком пользователей или групп, которые настроены в политике.

GPP для локальных групп значительно отличается. Здесь у вас есть возможность управлять тем, какие учетные записи пользователей или групп добавляются, какие удаляются и даже контролировать удаление всех пользователей и/или групп, прежде чем получить многогранный контроль. На рисунке 3 показано, как может выглядеть конфигурация при управлении новой группой LocalHelpDesk.

Удалить всех из группы локальных администраторов

Рисунок 3: Членами локальной группы можно управлять всесторонне

Обратите внимание, что опции ‘Удалить все учетные записи пользователей’ и ‘Удалить все учетные записи групп’ могут быть оставлены неотмеченными или их можно настраивать. Если вы настроите обе эти опции, политика локальной группы будет вести себя так же, как и в случае с ограниченными группами.

Еще одним ключевым моментом здесь является возможность управления добавлением и удалением нового пользователя или группы. На рисунке 4 показано, как выглядят параметры, когда вы добавляете новую группу в список членов, что дает вам возможность добавлять или удалять группу из той группы, которой вы управляете.

Удалить всех из группы локальных администраторов

Рисунок 4: Члены настраиваемой группы могут быть удалены или добавлены

Управление локальными администраторами или другими локальными группами

Если вы хотите работать с существующей локальной группой, это делается тоже очень просто. Мы только что рассмотрели ситуацию, в которой изменяли принадлежность к группе. Однако здесь есть и другие возможности. Я хочу заострить внимание на локальной группе администраторов, которая очень важна для управления локальным компьютером. Если пользователь принадлежит к этой группе, он может делать что угодно с этим компьютером, независимо от желаний и настроек домена. Таким образом, просто необходимо управлять принадлежностью к этой группе.

В большинстве случаев администраторам необходимо, чтобы учетные записи групп администраторов домена и локальных администраторов принадлежали к локальной группе администраторов. К тому же, администраторам, как правило, не нужно, чтобы учетная запись пользователя компьютера принадлежала к локальной группе администраторов.

Чтобы за несколько минут настроить эти опции в GPP, необходимо настроить политику новой локальной группы во вкладке Конфигурация пользователя | Привилегии | Панель управления | Локальные пользователи и группы, а не во вкладке конфигурация компьютера. На рисунке 5 показано, почему необходимо настраивать политику во вкладке конфигурации пользователя.

Gpo создание локальной учетной записи

Рисунок 5: Политика локальной группы во вкладке Конфигурация пользователя

Обратите внимание, что политика локальной группы на рисунке 5 имеет новую опцию, ‘Удалить текущего пользователя’. Это удалит пользовательскую учетную запись, которая использовалась для входа в систему, из локальной группы администраторов. Как вы видите, это очень мощный параметр. При его сочетании с группами администраторов домена и локальных администраторов, которые также показаны на рисунке 5, вы сделаете за считанные минуты то, на что раньше у вас бы ушли недели.

Резюме

Создание, управление и общий контроль над локальными группами никогда не был столь многогранным в средах Windows. Теперь при наличии GPP локальными группами можно управлять всесторонне. Можно создавать локальные группы, а принадлежность к ним можно контролировать. Принадлежность к группе можно контролировать путем добавления и удаления локальных и доменных учетных записей пользователей или групп. Это осуществляется без нарушения целостности других членов группы, как было в случае с ограниченными группами. Вы также можете убедиться в том, что все компьютеры защищены и корректно настроены путем удаления локально вошедших учетных записей пользователей и добавления учетных записей администраторов домена и локальных администраторов. В общем и целом, использование привилегий групповой политики для управления локальными группами на серверах и компьютерах даст вам полный контроль над локальными группами на этих машинах.

Источник www.windowsecurity.com


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]