Сколько компьютеров Windows содержит ваша компания? Сколько серверов используется в вашей компании для размещения приложений, файлов, принтеров и т.д.? Теперь подумайте, вам необходимо контролировать все локальные группы, расположенные на этих компьютерах и серверах. Уверен, что многие из вас ответили, что в компании есть более 1000 десктопов и серверов. Это довольное большое число, учитывая, что некоторые серверы могут быть расположены удаленно, а некоторые компьютеры могут быть ноутбуками, путешествующими по всей стране или миру. Если вы хотите создать локальные группы на всех этих машинах, как вы это делаете? С помощью сценариев? А что, если вам необходимо убедиться в том, что локальная группа администраторов должна иметь определенные группы домена, такие как, например, администраторы домена? Сколько времени потребуется, чтобы убедиться, что все эти параметры настроены полностью? Благодаря новым привилегиям групповой политики (GPP) эти задачи становятся простыми, и можно быть уверенным, что параметры будут применены ко всем компьютерам и серверам, для которых они предназначены.
Основы привилегий групповой политики
GPP – это новый тип параметров объекта групповой политики (GPO), который доступен на серверах Windows Sever 2008 или клиентах Windows Vista SP1. Чтобы не докучать вам подробностями о привилегиях групповой политики, но все же дать достаточно информации для контролирования локальных групп, позвольте мне в общих чертах рассказать, что вам нужно, чтобы все работало.
Для администрирования GPP у вас должен быть сервер Windows Server 2008 ИЛИ клиент Windows Vista, на котором установлен SP1 и RSAT. На обеих этих средах устанавливается консоль управления групповой политикой (Group Policy Management Console - GPMC), которая требуется для управления GPP. Можете посмотреть мою статью о Vista и RSAT на Microsoft Remote Server Administration Tools for Windows Vista.
Далее, у вас должно быть установлено расширение клиентской стороны (CSE) на ваших Windows XP SP2, Windows Server 2003 SP1 и Windows Vista SP1 компьютерах. Вы можете скачать его с сайта компании Microsoft и установить вручную (Windows Server Group Policy Home), или получить его со своего сервера WSUS. После того как вы установили CSE, эти компьютеры (и ваш сервер Windows Server 2008, на котором CSE установлено по умолчанию) готовы к получению параметров GPP.
Наконец, вам нужно лишь создать, связать и настроить GPO, который будет связан с организационным подразделением, содержащим целевые компьютеры или пользователей. Настройте GPP, которые хотите задать, и все.
Для дополнительной информации о GPP смотрите Windows Server Group Policy Home.
Создание новых локальных групп
Создание новой локальной группы на множестве компьютеров может быть устрашающей задачей. GPP предоставляет простой способ для выполнения этой задачи практически на всех ваших компьютерах и серверах Windows. Вы можете создать локальную группу на сервере или компьютере путем выбора объекта компьютера или пользовательского объекта. В большинстве случаев, когда нужно создать новую локальную группу, выбираются компьютерные объекты.
Для выполнения этой задачи, создайте и свяжите GPO с организационной единицей, содержащей целевой компьютерный или пользовательский объект. Отредактируйте GPO и разверните Конфигурация компьютера | Привилегии | Параметры панели управления | Локальные пользователи и группы. Нажмите правой клавишей на Локальных пользователях и группах, затем выберите Новая – Локальная группа. Это откроет диалоговое окно Новой локальной группы, как показано на рисунке 1.
Рисунок 1: Диалоговое окно новой локальной группы при выборе учетной записи компьютера
Для создания новой группы, выберите опцию Создать из списка Действия. Затем впишите название локальной группы, ее описание и т.д. На рисунке 2 приведен пример создания новой локальной группы под названием LocalHelpDesk.
Рисунок 2: Новая локальная группа под названием LocalHelpDesk создана с помощью GPP
Изменение принадлежности к локальной группе с помощью GPP
Независимо от того создаете ли вы новую локальную группу или изменяете уже существующую, вы можете управлять принадлежностью к локальной группе с помощью GPP. Хотя эту задачу можно выполнить с помощью ограниченных групп (Restricted Groups), которые находились в групповой политике в течение некоторого времени (Конфигурация компьютера | Параметры Windows | Настройки безопасности | Локальные политики | Ограниченные группы), использование GPP для выполнения этой задачи обеспечивает более многогранный контроль.
Ограниченные группы представляли собой настройку ‘удалить и заменить’, которая брала текущий список членов группы и удаляла их, прежде чем заменить их списком пользователей или групп, которые настроены в политике.
GPP для локальных групп значительно отличается. Здесь у вас есть возможность управлять тем, какие учетные записи пользователей или групп добавляются, какие удаляются и даже контролировать удаление всех пользователей и/или групп, прежде чем получить многогранный контроль. На рисунке 3 показано, как может выглядеть конфигурация при управлении новой группой LocalHelpDesk.
Рисунок 3: Членами локальной группы можно управлять всесторонне
Обратите внимание, что опции ‘Удалить все учетные записи пользователей’ и ‘Удалить все учетные записи групп’ могут быть оставлены неотмеченными или их можно настраивать. Если вы настроите обе эти опции, политика локальной группы будет вести себя так же, как и в случае с ограниченными группами.
Еще одним ключевым моментом здесь является возможность управления добавлением и удалением нового пользователя или группы. На рисунке 4 показано, как выглядят параметры, когда вы добавляете новую группу в список членов, что дает вам возможность добавлять или удалять группу из той группы, которой вы управляете.
Рисунок 4: Члены настраиваемой группы могут быть удалены или добавлены
Управление локальными администраторами или другими локальными группами
Если вы хотите работать с существующей локальной группой, это делается тоже очень просто. Мы только что рассмотрели ситуацию, в которой изменяли принадлежность к группе. Однако здесь есть и другие возможности. Я хочу заострить внимание на локальной группе администраторов, которая очень важна для управления локальным компьютером. Если пользователь принадлежит к этой группе, он может делать что угодно с этим компьютером, независимо от желаний и настроек домена. Таким образом, просто необходимо управлять принадлежностью к этой группе.
В большинстве случаев администраторам необходимо, чтобы учетные записи групп администраторов домена и локальных администраторов принадлежали к локальной группе администраторов. К тому же, администраторам, как правило, не нужно, чтобы учетная запись пользователя компьютера принадлежала к локальной группе администраторов.
Чтобы за несколько минут настроить эти опции в GPP, необходимо настроить политику новой локальной группы во вкладке Конфигурация пользователя | Привилегии | Панель управления | Локальные пользователи и группы, а не во вкладке конфигурация компьютера. На рисунке 5 показано, почему необходимо настраивать политику во вкладке конфигурации пользователя.
Рисунок 5: Политика локальной группы во вкладке Конфигурация пользователя
Обратите внимание, что политика локальной группы на рисунке 5 имеет новую опцию, ‘Удалить текущего пользователя’. Это удалит пользовательскую учетную запись, которая использовалась для входа в систему, из локальной группы администраторов. Как вы видите, это очень мощный параметр. При его сочетании с группами администраторов домена и локальных администраторов, которые также показаны на рисунке 5, вы сделаете за считанные минуты то, на что раньше у вас бы ушли недели.