W2K.PL

Kolejne z czÄ™stych pytaÅ„ – jak spowodować aby użytkownik domenowy znalazÅ‚ sie w odpowiednich grupach na stacji roboczej? OczywiÅ›cie interesuje nas rozwiÄ…zanie nie wymagajÄ…ce wykonania rÄ™cznie akcji na poszczególnych stacjach roboczych.

Odpowiedzią na to pytanie jest użycie opcji GPO, kryjącej się pod nazwą Restricted Groups (Grupy z ograniczeniami w wersji polskiej).

Użycie restricted groups pozwala na wymuszenie członkostwa użytkowników domenowych w lokalnych grupach zabezpieczeń, na stacjach objętych zakresem danego GPO.

To co musimy zdefiniować to:

1. Obiekt GPO na OU, w którym znajdują się dane stacje robocze.
2. Skonfigurować odpowiednie ustawienia opcji Restricted Groups. Grupę, której członkostwo chcemy wymusić możemy po prostu wpisać w okienki dialogowe. Dla każdej z grup możemy ustalić dwie opcje:
   member - lista użytkowników domenowych, którzy mają być członkami wybranej grupy
   member of – lista grup, do których dana grupa ma należeć (zagnieżdzenie)
3. Odświeżyć GPO na wybranych stacjach.

To o czym należy pamiętać, to fakt że uzywając Restricted groups usuniemy z danej grupy lokalnej wszystkich użytkowników, którzy zostaną dodani lokalnie do grupy. Zachowanie to będzie powtórzone przy każdym odświeżeniu GPO zawierającego tą opcję.

Przy okazji link do przydatnych artykułów KB:

• http://support.microsoft.com/kb/320099
• http://support.microsoft.com/kb/835901

Przy okazji już całkiem, link do artykułu na dirteam.com, który opisuje jakie mogą być negatywne skutki wymuszenia członkostwa w grupach Active Directory.