Назад | Перейти на главную страницу

Как установить для локального пользователя назначение прав пользователя в GPO активного каталога?

У нас есть процесс, в котором я работаю, где любые изменения в объектах групповой политики активного каталога выполняются на тестовых серверах, создаются резервные копии, а затем резервные копии применяются к действующей AD.

Я занимаюсь внесением поправок в объект групповой политики, где я хочу специально добавить назначение прав пользователя для учетной записи пользователя, которая будет существовать локально на рядовых серверах, к которым будет применяться этот объект групповой политики.

Я попытался добавить слово BUILTIN перед этим пользователем, я попытался использовать migtables, я попытался создать пользователя в домене (но это заканчивается попыткой применить права пользователя к пользователю домена этого имя если он существует ..).

Не зная, что делать, поиск в Google дает множество результатов, которые, как правило, ни к чему не приводят в этом сценарии (локальный, пользовательский, групповой, политический - все очень общие термины вместе).

Любой предлагаемый способ сделать это?

Возможно, вы можете попробовать следующее:

  1. Создайте отдельную группу для пользователя локально.
  2. Создайте GPO и настройте группы с ограниченным доступом в GPO, чтобы они применялись только к локальной группе, созданной на шаге 1.

Описание групп с ограниченным доступом к групповой политике

Об этом говорится в статье, если перейти по ссылке:

Группы с ограниченным доступом - это средство настройки клиента, которое нельзя использовать с группами домена. Группы с ограниченным доступом разработаны специально для работы с локальными группами.

Если вы будете использовать одно и то же имя локальной учетной записи на каждом из рядовых серверов, вы можете ввести его в GPO следующим образом:

.\localUsername

Обозначение. \ Просто относится к локальному компьютеру, когда применяется параметр в GPO. Это похоже на ввод domainName \ accountName.

Если вы будете использовать разные имена учетных записей на каждом из рядовых серверов, решение будет не изящным. Этот подход потребует от вас либо создания уникального объекта групповой политики для назначенных прав пользователя каждого рядового сервера, либо ввода всего в один некрасивый (и менее безопасный) объект групповой политики, например:

server1\localUsername1, server2\localUsername2, server*N*\localUsername*N*

Лучшее, что ты можешь сделать начать с заключается в создании учетных записей службы домена вместо локальных учетных записей.

Надеюсь это поможет.