Назад | Перейти на главную страницу

GPO - Управление группой локальных администраторов (группа с ограниченным доступом против локальных пользователей и групп)

Я ищу текущие передовые практики и, похоже, не могу найти окончательного ответа. Я хочу управлять членством в группе локальных администраторов на машинах Windows (Client). Раньше мы использовали группы с ограниченным доступом, но я вижу, что локальные пользователи и группы обеспечивают большую гибкость, а также могут очищать существующих пользователей и группы, чтобы имитировать действия групп с ограничениями.

Любые рекомендации о том, почему я бы предпочел одно другому. Это просто предпочтение? Что используют большинство администраторов? У кого-нибудь есть ссылка на документ microsoft, в котором объясняется, что следует использовать?

Спасибо!

Я бы сказал, это предпочтение. Давайте сделаем немного истории, чтобы объяснить, почему мы можем управлять членством в группах двумя разными способами:

«Группы с ограниченным доступом» (в узле «Политики» консоли управления GP) идут первыми и позволяют вам ограничивать членов группы (никто не может добавлять / удалять что-либо в группе после того, как вы ограничили ее).

Затем другая компания (под названием «DesktopStandard») создала свои собственные расширения GP (PolicyMaker), чтобы позволить администраторам выполнять другие задачи с групповыми политиками, например создание и удаление файлов, папок, ключей реестра, ярлыков и т. Д. И они предоставили другой способ для управления членством пользователей и групп с помощью «Локальных пользователей и групп». В конце концов, Microsoft купила эту компанию. и интегрировали свои инструменты в узел «Предпочтения» консоли управления GP (и именно поэтому внешний вид отличается, когда вы просматриваете узел «Предпочтения» в своем GPO).

Вот и все, теперь у нас есть два способа управления членством в группах: «Группы с ограниченным доступом» - это исходный, а «Локальные пользователи и группы» - это инструмент, «закрепленный на болтах».

Если вы просто хотите ограничить членство в группе, я бы лично использовал "Ограниченную группу", но если вы хотите добавить некоторых участников, не стирая старых, и если вы хотите разрешить пользователям добавлять участников позже, вам следует использовать " Локальные пользователи и группы »в« Настройках »