За допомогою доменних групових політик ви можете додати необхідних користувачів AD (або групи) в локальну групу адміністраторів на серверах або робочих станціях. Так можна надати права локального адміністратора на комп’ютерах домену технічним персоналом вашої службі HelpDesk, певним користувачам і інших привілейованих акаунтів. У цій статті ми покажемо наскільки способів управління членами локальної групи адміністраторів на комп’ютерах домену через GPO.

При додаванні комп’ютера в домен AD в групу Адміністратори автоматично додається групи Адміністратори доменів, А група Користувач домену додається в локальну Користувачі.

Найпростіший спосіб надати права локального адміністратора на певному комп’ютері – додати користувача або групу в локальну групу безпеки Administrators через локальну оснащення “Локальні користувачі та групи” (Local users and groups – lusrmgr.msc). Однак такий спосіб дуже незручний, якщо комп’ютерів багато і з часом в групах локальних адміністраторів обов’язково виявляться зайві особистості. Тобто при такому способі надання прав незручно контролювати склад групи локальних адміністраторів.

консоль Local users and groups додавання прав локального адміністратора

У класичних рекомендаціях з безпеки Microsoft рекомендується використовувати такі групи для поділу повноваженнями адміністраторів в домені:

  • Адміністратори домену – адміністратори домену, використовуються тільки на контролерах домену;
    З точки зору безпеки привілейованих акаунтів адміністраторів не рекомендується виконувати повсякденні завдання адміністрування робочих станцій і серверів під обліковим записом з правами адміністратора домену. Такі облікові записи потрібно використовувати тільки для завдань адміністрування AD (додавання нових контролерів домену, управління реплікацією, модифікація схеми і т.д.). Більшість завдань управління користувачами, комп’ютерами і політиками в домені можна делегувати для звичайних облікових записів адміністраторів. Не використовуйте акаунти з групи Domain Admins для входу на будь-які робочі станції і сервери хромі контролерів домену.
  • Адміністратори сервера – група для віддаленого входу на рядові сервера домена. Чи не повинна складатися в групі Domain Admins і не повинна включатися в групу локальних адміністраторів на робочих станціях;
  • Адміністратори робочих станцій – група тільки для адміністрування комп’ютерів. Чи не повинна входити або містити групи Domain Admins і Server Admins;
  • Користувачі домену – звичайні облікові записи користувачів для виконання типових офісних операцій. Чи не повинні мати прав адміністратора на серверах або робочих станціях.
Також ви можете повністю відмовитися від надання прав адміністратора для доменних користувачів і груп. В цьому випадку для виконання адміністративних завдань на комп’ютерах використовувати вбудованого локального адміністратора з паролем, що зберігаються в AD (реалізується за допомогою LAPS).

Припустимо, нам потрібно надати групі співробітників техпідтримки і HelpDesk права локального адміна на комп’ютерах в конкретному OU. Створіть в домені нову групу безпеки за допомогою PowerShell і додайте в неї облікові записи співробітників техпідтримки:

New-ADGroup "mskWKSAdmins" -path 'OU=Groups,OU=Moscow,DC=winitpro,DC=ru' -GroupScope Global –PassThru

Add-AdGroupMember -Identity mskWKSAdmins -Members user1, user2, user3

Відкрийте консоль редагування доменних групових політик (GPMC.msc), Створити нову політику AddLocaAdmins і призначте її на OU з комп’ютерами (в моєму прикладі це ‘OU = Computers, OU = Moscow, dc = winitpro, DC = ru’).

У групових політиках AD є два методи управління локальними групами на комп’ютерах домену. Розглянемо їх по-черзі:

  • Обмежені групи (Restricted Groups)
  • Управління локальним групами через переваги групових політик (Group Policy Preferences)

Додавання користувачів в локальну групу адміністраторів через Group Policy Preferences

Уподобання групових політик (Group Policy Preferences, GPP) надають найбільш гнучкий і зручний спосіб надання прав локальних адміністраторів на комп’ютерах домену через GPO.

  1. Відкрийте створену раніше політику AddLocaAdmins в режимі редагування;
  2. Перейдіть в секцію GPO: Конфігурація комп’ютера -> Налаштування -> Налаштування панелі керування -> Локальні користувачі та групи;
  3. Клацніть ПКМ по правому вікна і додасте нове правило (Новий -> Місцева група); Group Policy Preferences управління локальними групами
  4. В поле Action виберіть Оновлення (Це важлива опція!);
  5. У випадаючому списку Group Name виберіть Administrators (Built-in). Навіть якщо ця група була перейменована на комп’ютері, настройки будуть застосовані до групи локальних адміністраторів по її SID – S-1-5-32-544;
  6. Натисніть кнопку Додати і вкажіть групи, які потрібно додати в локальну групу адміністраторів (в нашому випадку це mskWKSAdmins)

    Якщо ви хочете видалити з поточної локальної групи на комп’ютері користувачів і групи, доданих вручну, відзначте опції “Видалити всіх користувачів-членів“І”Видалити всі групи учасників“. У більшості випадків це доцільно, тому що ви гарантуєте, що на всіх комп’ютерах права адміністратора будуть тільки у призначеної доменної групи. Тепер якщо на комп’ютері вручну додати користувача до групи адміністраторів, при наступному застосуванні політики він буде автоматично видалений.

    додавання доменної групи в локальні адміністратори політика

  7. Збережіть політику і дочекайтеся її застосування на клієнтах. Для негайного застосування політики виконайте команду gpupdate /force.
  8. Відкрийте оснастку lusrmgr.msc на будь-якому комп’ютері і перевірте членів локальної групи Adminstrators. До групи повинна бути додана тільки група mskWKSAdmins, всі інші користувачі і групи будуть видалені. Список локальних адмінів можна вивести за допомогою команди net localgroup Administrators або net localgroup Администраторы – в російській версії Windows ..

Ви можете налаштувати додаткові (гранулярні) умови націлювання даної політики на конкретні комп’ютери за допомогою WMI фільтрів GPO або Націлювання на рівні елемента. У другому випадку перейдіть на вкладку Common і відзначте опцію Item-level targeting. Натисніть на кнопку Націлювання. Тут ви можете вказати умови, коли дана політика буде застосовуватися. Наприклад, я хочу, щоб політика додавання группф адміністраторів застосовувалася тільки до комп’ютерів з Windows 10, чиї NetBIOS / DNS імена не містять adm. Ви можете використовувати свої умови фільтрації.

Item-level targeting правила застосування політики управління адміністраторами

Не рекомендується додавати в цій політики індивідуальні акаунти користувачів, краще використовувати доменні групи безпеки. У цьому випадку, щоб надати права адміністраторів чергового співробітника тех. підтримки, вам досить додати його в доменну групу (не доведеться редагувати GPO),

Управління локальними адміністраторами через Restricted Groups

Політика груп з обмеженим доступом (Restricted Groups) також дозволяє додати доменні групи / користувачів в локальні групи безпеки на комп’ютерах. Це більш старий спосіб надання прав локального адміністратора і зараз використовується рідше (спосіб менш гнучкий, ніж спосіб з Group Policy Preferences).

  1. Перейдіть в режим редагування політики;
  2. Розгорніть секцію Computer Configuration -> Policies -> Security Settings -> Restrictred Groups (Конфігурація комп’ютера -> Політики -> Параметри безпеки -> Обмежені групи);
  3. У контекстному меню виберіть Додати групу; Restrictred Groups в групових політиках
  4. У вікні, вкажіть Адміністратори -> Гаразд;
  5. У секції “Члени цієї групи“натисніть Додати і вкажіть групу, яку ви хочете додати в локальні адміністратори; налаштувати членів групи локальних адміністраторів груповими політиками
  6. Збережіть зміни, застосуєте політику на комп’ютери користувачів і перевірте локальну груп Адміністратори. У ній повинна залишитися тільки зазначена в політиці група.

Дана політика завжди (!) Видаляє всіх наявних членів в групі локальних адміністраторів (доданих вручну, іншими політиками або скриптами). Якщо на комп’ютер діє кілька політик з настройками Restrictred Groups, застосовується тільки остання. Можна обійти це обмеження, додавши в Restrictred Groups спочатку групу mskWKSAdmins, і потім цю групу включити в Administrators.

Надання прав адміністратора на конкретному комп’ютері

Іноді потрібно надати певному користувачеві права адміністратора на комп’ютері. Наприклад, у вас є кілька розробників, яким періодично необхідні підвищені привілеї для тестування драйверів, налагодження, встановлення на своїх комп’ютерах. Недоцільно додавати їх до групи адміністраторів робочих станцій на всіх комп’ютерах.

Щоб надати права лок. адміна на одному конкретному комп’ютері можна використовувати таку схему.

Прямо в створеній раніше політиці AddLocalAdmins в секції переваг (Computer Configuration -> Preferences -> Control Panel Settings -> Local Users and Groups) створіть новий запис для групи Administrators з наступними настройками:

  • Дія: Оновлення
  • Назва групи: Адміністратори (вбудовані)
  • Опис: “Додавання apivanov в лок. адміністратори на комп’ютері msk-ws24 “
  • Учасники: Додати -> апіванов додавання користувача в локальні адміністратори на конкретному комп'ютері
  • на вкладці Поширені -> Націлювання вказати правило: “the NETBIOS computer name is msk-ws24“. Тобто дана політика буде застосовуватися тільки із вказаного нижче комп’ютері. політика для одного комп'ютера

Також зверніть увагу на порядок застосування груп на комп’ютері – Порядок. Налаштування локальних груп застосовуються зверху вниз (починаючи з політики з Order 1).

Перша політика GPP (з настройками “Delete all member users” і “Delete all member groups” як описано вище), видаляє всіх користувачів / групи з групи локальних адміністраторів і додає зазначену доменну групу. Потім таким чином, застосовується додаткова політика для конкретного комп’ютера і додасть в адміністратори зазначеного користувача. Якщо потрібно змінити порядок застосування членства в групі Адміністратори, скористайтеся кнопками вгорі консолі редактора GPO.

Leave a Reply

Your email address will not be published. Required fields are marked *