Thursday, November 30th, 2006...1:02 am

FAQ#3: Jak dodać użytkownika domenowego do lokalnych grup zabezpieczeń?

wykop.pl Jump to Comments

Kolejne z częstych pytań - jak spowodować aby użytkownik domenowy znalazł sie w odpowiednich grupach na stacji roboczej? Oczywiście interesuje nas rozwiązanie nie wymagające wykonania ręcznie akcji na poszczególnych stacjach roboczych.

Odpowiedzią na to pytanie jest użycie opcji GPO, kryjącej się pod nazwą Restricted Groups (Grupy z ograniczeniami w wersji polskiej).

Użycie restricted groups pozwala na wymuszenie członkostwa użytkowników domenowych w lokalnych grupach zabezpieczeń, na stacjach objętych zakresem danego GPO.

To co musimy zdefiniować to:

  1. Obiekt GPO na OU, w którym znajdują się dane stacje robocze.
  2. Skonfigurować odpowiednie ustawienia opcji Restricted Groups. Grupę, której członkostwo chcemy wymusić możemy po prostu wpisać w okienki dialogowe. Dla każdej z grup możemy ustalić dwie opcje:
    member - lista użytkowników domenowych, którzy mają być członkami wybranej grupy
    member of - lista grup, do których dana grupa ma należeć (zagnieżdzenie)
  3. Odświeżyć GPO na wybranych stacjach.

To o czym należy pamiętać, to fakt że uzywając Restricted groups usuniemy z danej grupy lokalnej wszystkich użytkowników, którzy zostaną dodani lokalnie do grupy. Zachowanie to będzie powtórzone przy każdym odświeżeniu GPO zawierającego tą opcję.

Przy okazji link do przydatnych artykułów KB:

Przy okazji już całkiem, link do artykułu na dirteam.com, który opisuje jakie mogą być negatywne skutki wymuszenia członkostwa w grupach Active Directory.

Brak komentarzy

Filed under Bezpieczeństwo, FAQ, Narzędzia i skrypty, Usługi katalogowe

Leave a Reply