Thursday, November 30th, 2006...1:02 am

FAQ#3: Jak dodać użytkownika domenowego do lokalnych grup zabezpieczeń?

Jump to Comments

Kolejne z czÄ™stych pytaÅ„ – jak spowodować aby użytkownik domenowy znalazÅ‚ sie w odpowiednich grupach na stacji roboczej? OczywiÅ›cie interesuje nas rozwiÄ…zanie nie wymagajÄ…ce wykonania rÄ™cznie akcji na poszczególnych stacjach roboczych.

Odpowiedzią na to pytanie jest użycie opcji GPO, kryjącej się pod nazwą Restricted Groups (Grupy z ograniczeniami w wersji polskiej).

Użycie restricted groups pozwala na wymuszenie członkostwa użytkowników domenowych w lokalnych grupach zabezpieczeń, na stacjach objętych zakresem danego GPO.

To co musimy zdefiniować to:

  1. Obiekt GPO na OU, w którym znajdują się dane stacje robocze.
  2. Skonfigurować odpowiednie ustawienia opcji Restricted Groups. Grupę, której członkostwo chcemy wymusić możemy po prostu wpisać w okienki dialogowe. Dla każdej z grup możemy ustalić dwie opcje:
    member – lista użytkowników domenowych, którzy majÄ… być czÅ‚onkami wybranej grupy
    member oflista grup, do których dana grupa ma należeć (zagnieżdzenie)
  3. Odświeżyć GPO na wybranych stacjach.

To o czym należy pamiętać, to fakt że uzywając Restricted groups usuniemy z danej grupy lokalnej wszystkich użytkowników, którzy zostaną dodani lokalnie do grupy. Zachowanie to będzie powtórzone przy każdym odświeżeniu GPO zawierającego tą opcję.

Przy okazji link do przydatnych artykułów KB:

Przy okazji już całkiem, link do artykułu na dirteam.com, który opisuje jakie mogą być negatywne skutki wymuszenia członkostwa w grupach Active Directory.

Leave a Reply