У меня очень маленькая сеть с небольшим количеством пользователей и машин. Я хотел бы контролировать, какие пользователи могут получить доступ к каким машинам с помощью групповой политики.
Вот базовый обзор моей текущей настройки.
Все машины находятся в Компьютеры домена группа Два компьютера находятся в Управляющие компьютеры группа. Они используются для руководителей, имеющих доступ к более конфиденциальным данным.
Все пользователи находятся в Пользователи домена группа Два пользователя находятся в Пользователи управления группа. Эти пользователи имеют доступ ко всему, что делают пользователи домена, а также к дополнительным общим файловым ресурсам.
У меня есть компьютерная политика по умолчанию, которую я использую для применения глобальных настроек ко всем машинам в моей сети. Сюда входят такие параметры, как исключения брандмауэра для удаленного рабочего стола и добавление пользователей домена в локальную группу администраторов для машины. Эта политика распространяется на Компьютеры Domin группа. Я также устанавливаю Разрешить вход локально и Разрешить вход через службы терминалов права на применение к пользователям домена
У меня есть политика управляющего компьютера, которую я хотел бы использовать для переопределения определенных параметров, содержащихся в политике компьютера по умолчанию. А именно устанавливаю Разрешить вход локально и Разрешить вход через службы терминалов права включать только группы управления и администраторов.
Все эти политики включены и связаны с моим корневым доменом, я не использую никаких подразделений. Я читал, что для такой маленькой сети OU избыточны и в этом нет необходимости. Я установил порядок ссылок в этом домене так, чтобы политики управления были вверху, а политики обычных пользователей - внизу, заканчивая политикой домена по умолчанию.
Я ожидал, что настройки входа в мою политику управления переопределят мою политику компьютера по умолчанию. Однако, когда я смотрю в локальной политике безопасности для компьютера в группе «Управляющие компьютеры», я вижу группы, указанные в моих настройках по умолчанию, а не политику управления. Я пробовал использовать gpupdate /force а также перезапуск обработки, и это не помогает. Я могу войти в систему, используя пользователя, который находится в Пользователи домена группа.
Что я здесь неправильно понимаю и что мне делать, чтобы достичь того, к чему я стремлюсь?
Используйте OU - не бывает слишком маленькой сети для использования OU. Примените политики к OU, поскольку вы не можете применять групповые политики к контейнеру пользователей и компьютеров по умолчанию.
Если вы хотите использовать эту настройку, я бы создал подразделение «Компьютер», переместил все обычные учетные записи компьютеров в это подразделение и применил к нему подразделение comptuer по умолчанию. Создайте дочернюю OU "MgmtComputers" OU вне компьютерной OU и примените к ней только OU компьютера управления.
Изменить: BTW - если вы устанавливаете «пользователей домена» в качестве локальных администраторов в политике компьютера по умолчанию и разрешаете «Локальный вход в систему» включать группу администраторов, поскольку каждый пользователь домена является локальным администратором, это все равно позволит каждому пользователю войти в систему на каждый компьютер.