null

Делегирование прав локального администратора в Active Directory

В некоторых случаях может возникнуть потребность в предоставлении прав локального администратора для группы пользователей на компьютерах, объявленных в определённом OU. Это можно сделать при помощи групповой политики, а именно фичей Restricted Groups (Группы с ограниченным доступом).

Собственно, сей процесс и описан ниже:

1. Создаём новый объект групповой политики с связываем его с OU, в котором содержатся целевые компьютеры.

2. Открываем нашу созданную политику редактором управления групповыми политиками и переходим по следующему пути: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Restricted Groups (Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Группы с ограниченным доступом)

3. Логичной комбинацией правой и левой кнопок мыши создаём группа и называем её Administrators ( для русских версий Windows группа должна называться Администраторы, для полной совместимости можно сделать обе). В члены этой группы добавляем группу или группы, членов которой вы хотите сделать локальными администраторами на машинах в рамках выбранного OU.

4. Profit! На уже запущенных машинах потребуется выполнить команду gpupdate /force в командной строке, или, конечно же, просто перезагрузить компьютер (или сервер).