Назад | Перейти на главную страницу

(GPO) Установить пользователя AD как локального администратора на всех ПК в определенном подразделении

В моем AD у меня есть эти два OU: OU ПК и пользователь OU. В OU «Пользователи» несколько пользователей, а в OU «PC» несколько машин. Теперь мне нужно написать объект групповой политики для одного из этих пользователей, который автоматически добавит его в «группу локальных администраторов» на всех этих машинах, которые либо уже находятся в этом подразделении «ПК», либо будут добавлены в будущем. Конечно, я мог бы установить его как локального администратора вручную на всех этих ПК, но мне нужно, чтобы это делалось автоматически.

Есть ли возможность или способ сделать это с помощью GPO?

Приветствую!

Вы добавляете локальных администраторов с помощью Ограниченные группы, который в Конфигурация компьютера. Таким образом, вы можете по определению добавить этот объект групповой политики для подразделения, содержащего компьютеры, на которые он должен воздействовать.

  1. Добавьте новый объект группы в свой AD, например DOMAIN\Local Admins Его контейнер не имеет значения.
  2. Добавьте новый объект групповой политики «Локальные администраторы» и свяжите его с OU=PC.
  3. В Конфигурация компьютера > Политики > Настройки Windows > Настройки безопасности > Ограниченные группы, Добавить группу DOMAIN\Local Admins
  4. добавить в Эта группа является членом группы: Administrators & Remote Desktop Users.

Если вы используете разные языковые версии Windows, административный названия групп могут быть разными. В многоязычной среде вы можете ссылаться на эти общие группы по их идентификаторы безопасности (SID):

  • S-1-5-32-544 для Administrators
  • S-1-5-32-555 для BUILTIN\Remote Desktop Users

Кнопки.

Вы можете использовать настройки групповой политики, чтобы изменить членство в локальных группах, или вы можете использовать параметр ограниченных групп, чтобы настроить членство в локальных группах. Две приведенные ниже ссылки дадут вам некоторое руководство.

https://technet.microsoft.com/en-us/library/dn581922(v=ws.11).aspx

https://social.technet.microsoft.com/wiki/contents/articles/20402.active-directory-group-policy-restricted-groups.aspx