Локальні (або вбудовані) групи безпеки створюються при установці операційної системи і служать для призначення користувачам прав доступу до різних ресурсів на окремо взятому комп'ютері. Груп досить багато, але на практиці за допомогою лише двох:
- Користувачі (Users) - можуть запускати додатки і працювати з ними, але не мають прав на зміну параметрів системи.
- Адміністратори (Administrators) - мають повні і нічим не обмежені права доступу до комп'ютера.
Для того, щоб додати доменного користувача в локальну групу безпеки на одному комп'ютері, можна особливо не мудрувати і скористатися оснащенням Локальні користувачі та групи (Local users and groups). Однак, якщо цю процедуру необхідно виконати з великою кількістю комп'ютерів (наприклад, додати співробітників техпідтримки в групу локальних адмінів на всіх комп'ютерах мережі), то краще скористатися груповими політиками.
Групові політики надають два варіанти додавання користувачів, і ми розглянемо їх обидва. І перший спосіб, це:
Групи з обмеженим доступом, або Restricted Groups
Незважаючи на свою назву, ця політика не обмежує доступ, а дозволяє додати доменних користувачів в локальні групи безпеки. Знаходиться вона в вузлі Конфігурація комп'ютера \ Політики \ Параметри безпеки (Computer configuration \ Policies \ Security Settings)
Додати користувачів в локальні групи досить просто, достатньо створити синонім локальної групи Адміністратори і додати туди потрібну доменну групу (або окремих користувачів). Тоді члени цієї групи стануть локальними адміністраторами і зможуть входити на будь-яку робочу станцію з адміністративними привілеями.
Однак є деякі нюанси, а саме: якщо спочатку додати в Restricted Groups групу Адміністратори, а потім в неї додати доменну групу (в нашому випадку HelpDesk), то локальними адміністраторами залишаться тільки вбудований Адміністратор і додана нами група HelpDesk. а всі інші, навіть якщо вони були додані вручну, будуть з цієї групи видалені. Більш того, додати назад цих користувачів можна буде тільки одним способом - через Restricted Groups, при цьому вони стануть стануть локальними адміністраторами на всіх комп'ютерах, на які діє ця політика.
Тому, щоб уникнути подібних наслідків, спочатку додаємо в Restricted Groups доменну групу HelpDesk. а вже її в групу Адміністратори. У цьому випадку члени групи HelpDesk стануть локальними адміністраторами разом з уже заведеними користувачами і залишиться можливість додавати користувачів до групи локальних адміністраторів вручну.
Уподобання групової політики або Group Policy Preferences
За допомогою переваг конфигурируется робоче середовище клієнтських когось п'ютер, і хоча дії, що виконуються за допомогою переваг, можна реалі-зувати за допомогою стандартних групових політик, переваги використовувати набагато зручніше і простіше.
Для додавання користувачів в локальні групи за допомогою переваг йдемо в розділ Конфігурація комп'ютера \ Налаштування \ Параметри панелі управління (Computer Configuration \ Preferences \ Control Panel Settings) і вибираємо пункт Локальні користувачі та групи (Local User and Groups)
Клацаємо правою клавішею миші на порожньому полі, і в контекстному меню вибираємо пункт Створити - Локальна група
Відкривається вікно властивостей локальної групи, в якому ми і будемо налаштовувати членство в групі і інші опції. Як дії можна вибрати один з 4 варіантів:
- Оновити (за замовчуванням) - вибрані користувачі просто додаються в локальну групу
- Замінити - вибрані користувачі додаються до групи, при цьому всі інші члени групи видаляються
- Створити - створюється нова локальна група, в яку додаються вибрані користувачі
- Видалити - видаляються всі члени обраної локальної групи
А якщо ви хочете повністю контролювати всіх учасників локальної групи Адміністратори, то можна відзначити пункти Видалити всіх користувачів-членів цієї групи (Delete all member users) і Видалити всі групи є членами цієї групи (Delete all member groups). Тепер, навіть якщо вручну додати туди нового користувача або групу, при наступному перезавантаженні список членів групи буде оновлено відповідно до списку, зазначеним в груповій політиці.
І ще, хоча в локальні групи можна додавати окремих доменних користувачів, по можливості намагайтеся цього уникнути. Навіть якщо додати необхідно всього одного користувача, краще створити для нього в домені групу безпеки і працювати з нею. Це більш грамотний підхід з точки зору безпеки, і крім того це суттєво полегшить процес додавання користувачів в подальшому.
спасибі за шикарні мануали.