Створення та управління локальними групами на серверах і комп’ютерах
Основи привілеїв групової політики
Нарешті, вам потрібно лише створити, зв'язати і налаштувати GPO, який буде пов'язаний з організаційним підрозділом, що містить цільові комп'ютери або користувачів. Налаштуйте GPP, які хочете задати, і все.
Для додаткової інформації про GPP дивіться Windows Server Group Policy Home.
Створення нових локальних груп
Створення нової локальної групи на безлічі комп'ютерів може бути страхітливою завданням. GPP надає простий спосіб для виконання цього завдання практично на всіх ваших комп'ютерах і серверах Windows. Ви можете створити локальну групу на сервері чи комп'ютері шляхом вибору об'єкта комп'ютера або призначеного для користувача об'єкта. У більшості випадків, коли потрібно створити нову локальну групу, вибираються комп'ютерні об'єкти.
Для виконання цього завдання, створіть і зв'яжіть GPO з організаційною одиницею, що містить цільовий комп'ютерний або призначений для користувача об'єкт. Відредагуйте GPO і розгорніть Конфігурація комп'ютера | привілеї | Параметри панелі управління | Локальні користувачі та групи. Натисніть правою клавішею на Локальних користувачів і групи, потім виберіть Нова - Локальна група. Це відкриє діалогове вікно Нової локальної групи, як показано на малюнку 1.
Малюнок 1: Діалогове вікно нової локальної групи при виборі облікового запису комп'ютера
Щоб створити нову групу, виберіть опцію Створити зі списку Дії. Потім впишіть назву локальної групи, її опис і т.д. На малюнку 2 наведено приклад створення нової локальної групи під назвою LocalHelpDesk.
Малюнок 2: Нова локальна група під назвою LocalHelpDesk створена за допомогою GPP
Зміна приналежності до локальної групі за допомогою GPP
Незалежно від того створюєте ви нову локальну групу або змінюєте вже існуючу, ви можете управляти приналежністю до локальної групі за допомогою GPP. Хоча це завдання можна виконати за допомогою обмежених груп (Restricted Groups), які перебували в груповій політиці протягом деякого часу (Конфігурація комп'ютера | Параметри Windows | Налаштування безпеки | Локальні політики | Обмежені групи), використання GPP для виконання цього завдання забезпечує більш багатогранний контроль .
Обмежені групи представляли собою настройку 'видалити і замінити', яка брала поточний список членів групи і видаляла їх, перш ніж замінити їх списком користувачів або груп, які налаштовані в політиці.
GPP для локальних груп значно відрізняється. Тут у вас є можливість керувати тим, які облікові записи користувачів або груп додаються, які віддаляються і навіть контролювати видалення всіх користувачів і / або груп, перш ніж отримати багатогранний контроль. На малюнку 3 показано, як може виглядати конфігурація при управлінні новою групою LocalHelpDesk.
Малюнок 3: Членами локальної групи можна управляти всебічно
Зверніть увагу, що опції 'Видалити всі облікові записи користувачів »і« Видалити всі облікові записи груп' можуть бути залишені невідзначеними або їх можна налаштовувати. Якщо ви налаштуєте обидві ці опції, політика локальної групи буде вести себе так само, як і в випадку з обмеженими групами.
Ще одним ключовим моментом тут є можливість управління додаванням і видаленням нового користувача або групи. На малюнку 4 показано, як виглядають параметри, коли ви додаєте нову групу в список членів, що дає вам можливість додавати або видаляти групу з тієї групи, якій ви керуєте.
Малюнок 4: Члени настроюється групи можуть бути видалені або додані
Управління локальними адміністраторами або іншими локальними групами
Якщо ви хочете працювати з існуючою локальною групою, це робиться теж дуже просто. Ми тільки що розглянули ситуацію, в якій змінювали приналежність до групи. Однак тут є й інші можливості. Я хочу загострити увагу на локальній групі адміністраторів, яка дуже важлива для управління локальним комп'ютером. Якщо користувач належить до цієї групи, він може робити що завгодно з цим комп'ютером, незалежно від бажань і налаштувань домену. Таким чином, просто необхідно управляти приналежністю до цієї групи.
Щоб за кілька хвилин налаштувати ці опції в GPP, необхідно налаштувати політику нової локальної групи у вкладці Конфігурація користувача | привілеї | Панель управління | Локальні користувачі та групи. а не у вкладці конфігурація комп'ютера. На малюнку 5 показано, чому необхідно налаштовувати політику у вкладці конфігурації користувача.
Малюнок 5: Політика локальної групи у вкладці Конфігурація користувача
Зверніть увагу, що політика локальної групи на малюнку 5 має нову опцію, 'Видалити поточного користувача'. Це видалить призначену для користувача обліковий запис, яка використовувалася для входу в систему, з локальної групи адміністраторів. Як ви бачите, це дуже потужний параметр. При його поєднанні з групами адміністраторів домену і локальних адміністраторів, які також показані на малюнку 5, ви зробите за лічені хвилини то, на що раніше у вас би пішли тижні.
Створення, управління і загальний контроль над локальними групами ніколи не був настільки багатогранним в середовищах Windows. Тепер при наявності GPP локальними групами можна управляти всебічно. Можна створювати локальні групи, а приналежність до них можна контролювати. Належність до групи можна контролювати шляхом додавання і видалення локальних і доменних облікових записів користувачів або груп. Це здійснюється без порушення цілісності інших членів групи, як було у випадку з обмеженими групами. Ви також можете переконатися в тому, що всі комп'ютери захищені і коректно налаштовані шляхом видалення локально увійшли облікових записів користувачів і додавання облікових записів адміністраторів домену і локальних адміністраторів. У загальному і цілому, використання привілеїв групової політики для управління локальними групами на серверах і комп'ютерах дасть вам повний контроль над локальними групами на цих машинах.