1. Групи з обмеженим доступом, або Restricted Groups
2. Уподобання групової політики або Group Policy Preferences

Додаємо доменних користувачів в локальну групу безпеки

Локальні (або вбудовані) групи безпеки створюються при установці операційної системи і служать для призначення користувачам прав доступу до різних ресурсів на окремо взятому комп'ютері. Груп досить багато, але на практиці за допомогою лише двох:

• Користувачі (Users) - можуть запускати додатки і працювати з ними, але не мають прав на зміну параметрів системи.
• Адміністратори (Administrators) - мають повні і нічим не обмежені права доступу до комп'ютера.

До групи Адміністратори входить вбудований обліковий запис адміністратора, обліковий запис під якою проводилася установка системи і (якщо комп'ютер входить в домен) група Адміністратори домену (Domain Admins). Всі інші локальні і доменні користувачі за замовчуванням поміщаються в групу Користувачі і не мають адміністративних повноважень на локальному комп'ютері.

Для того, щоб додати доменного користувача в локальну групу безпеки на одному комп'ютері, можна особливо не мудрувати і скористатися оснащенням Локальні користувачі та групи (Local users and groups). Однак, якщо цю процедуру необхідно виконати з великою кількістю комп'ютерів (наприклад, додати співробітників техпідтримки в групу локальних адмінів на всіх комп'ютерах мережі), то краще скористатися груповими політиками.

Групові політики надають два варіанти додавання користувачів, і ми розглянемо їх обидва. І перший спосіб, це:

Групи з обмеженим доступом, або Restricted Groups

Незважаючи на свою назву, ця політика не обмежує доступ, а дозволяє додати доменних користувачів в локальні групи безпеки. Знаходиться вона в вузлі Конфігурація комп'ютера \ Політики \ Параметри безпеки (Computer configuration \ Policies \ Security Settings)

Додати користувачів в локальні групи досить просто, достатньо створити синонім локальної групи Адміністратори і додати туди потрібну доменну групу (або окремих користувачів). Тоді члени цієї групи стануть локальними адміністраторами і зможуть входити на будь-яку робочу станцію з адміністративними привілеями.

Однак є деякі нюанси, а саме: якщо спочатку додати в Restricted Groups групу Адміністратори, а потім в неї додати доменну групу (в нашому випадку HelpDesk), то локальними адміністраторами залишаться тільки вбудований Адміністратор і додана нами група HelpDesk, а всі інші, навіть якщо вони були додані вручну, будуть з цієї групи видалені. Більш того, додати назад цих користувачів можна буде тільки одним способом - через Restricted Groups, при цьому вони стануть стануть локальними адміністраторами на всіх комп'ютерах, на які діє ця політика.

Тому, щоб уникнути подібних наслідків, спочатку додаємо в Restricted Groups доменну групу HelpDesk, а вже її в групу Адміністратори. У цьому випадку члени групи HelpDesk стануть локальними адміністраторами разом з уже заведеними користувачами і залишиться можливість додавати користувачів до групи локальних адміністраторів вручну.

Цей спосіб працює на всіх операційних системах, починаючи з Windows 2000. Якщо ж у вас в якості клієнтської операційної системи використовується Windows 7, то можна скористатися другим способом:

Уподобання групової політики або Group Policy Preferences

Системи на базі Windows 7 підтримують розширення звичайних групових політик, названі перевагу (Preferences). Уподобання налаштовуються тільки в об'єктах групових політик, що зберігаються в доменах Active Directory на базі серверів Windows Server 2008 і 2008 R2.

За допомогою переваг конфигурируется робоче середовище клієнтських комп'ютерів, і хоча дії, що виконуються за допомогою переваг, можна реалізувати за допомогою стандартних групових політик, переваги використовувати набагато зручніше і простіше.

Для додавання користувачів в локальні групи за допомогою переваг йдемо в розділ Конфігурація комп'ютера \ Налаштування \ Параметри панелі управління (Computer Configuration \ Preferences \ Control Panel Settings) і вибираємо пункт Локальні користувачі та групи (Local User and Groups)

Клацаємо правою клавішею миші на порожньому полі, і в контекстному меню вибираємо пункт Створити - Локальна група

Відкривається вікно властивостей локальної групи, в якому ми і будемо налаштовувати членство в групі і інші опції. Як дії можна вибрати один з 4 варіантів:

• Оновити (за замовчуванням) - вибрані користувачі просто додаються в локальну групу
• Замінити - вибрані користувачі додаються до групи, при цьому всі інші члени групи видаляються
• Створити - створюється нова локальна група, в яку додаються вибрані користувачі
• Видалити - видаляються всі члени обраної локальної групи

В поле ім'я групи вибираємо Адміністратори (вбудований обліковий запис), це вибере групу локальних адміністраторів, навіть якщо вона була перейменована. Потім тиснемо на кнопку Додати і в якості членів групи вибираємо доменну групу HelpDesk. Тепер залишилося натиснути ОК, і наша група техпідтримки буде додана в групу локальних адмінів на всіх робочих станціях домену.

А якщо ви хочете повністю контролювати всіх учасників локальної групи Адміністратори, то можна відзначити пункти Видалити всіх користувачів-членів цієї групи (Delete all member users) і Видалити всі групи є членами цієї групи (Delete all member groups). Тепер, навіть якщо вручну додати туди нового користувача або групу, при наступному перезавантаженні список членів групи буде оновлено відповідно до списку, зазначеним в груповій політиці.

І ще, хоча в локальні групи можна додавати окремих доменних користувачів, по можливості намагайтеся цього уникнути. Навіть якщо додати необхідно всього одного користувача, краще створити для нього в домені групу безпеки і працювати з нею. Це більш грамотний підхід з точки зору безпеки, і крім того це суттєво полегшить процес додавання користувачів в подальшому.