Создание и управление локальными группами на серверах и рабочих столах
Сколько рабочих столов Windows поддерживает ваша компания? Сколько серверов в вашей компании для размещения приложений, файлов, принтеров и т. д.? Теперь учтите, что на всех этих рабочих столах и серверах вы должны контролировать находящиеся на них локальные группы. Я уверен, что большинство из вас ответили более чем на 1000 рабочих столов и серверов. Это ошеломляющая цифра, учитывая, что некоторые из серверов могут находиться в удаленных местах, а некоторые из настольных компьютеров могут быть ноутбуками, которые перемещаются по США или миру. Если бы вы захотели создать локальную группу на всех этих компьютерах, как бы вы это сделали? Скрипт? Что, если вы хотите, чтобы локальная группа администраторов имела определенные группы домена, такие как администраторы домена? Сколько времени потребуется, чтобы убедиться, что эти настройки завершены? Благодаря новым предпочтениям групповой политики эти задачи легко и надежно применимы ко всем рабочим столам и серверам, предназначенным для получения параметров.
Предпочтения групповой политики
Предпочтения групповой политики — это новый тип параметра объекта групповой политики, который доступен, если у вас есть сервер Windows Sever 2008 или компьютер с Windows Vista SP1. Чтобы не утомлять вас подробностями предпочтений групповой политики, но при этом дать вам достаточно для управления вашими локальными группами, позвольте мне подытожить, что вам нужно иметь, чтобы все заработало.
Для администрирования предпочтений групповой политики вам необходим сервер Windows Server 2008 ИЛИ рабочий стол Windows Vista с установленным пакетом обновления 1 (SP1) и установленным RSAT. В обеих этих средах установлена новая консоль управления групповыми политиками (GPMC), которая требуется для администрирования предпочтений групповой политики. См. мою статью о Vista и RSAT в Microsoft Remote Server Administration Tools for Windows Vista.
Далее вам необходимо установить клиентское расширение (CSE) на компьютерах с Windows XP SP2, Windows Server 2003 SP1 и Windows Vista SP1. Вы можете загрузить их с сайта Microsoft и установить вручную (домашняя страница групповой политики Windows Server) или получить их со своего сервера WSUS. После установки CSE эти компьютеры (и ваши серверы Windows Server 2008, на которых CSE установлена по умолчанию) готовы к получению настроек предпочтения групповой политики.
Наконец, вам просто нужно создать, связать и настроить объект групповой политики, связанный с организационной единицей, содержащей компьютер или пользователя, которого вы хотите настроить. Настройте предпочтение групповой политики, которое вы хотите установить, и это все.
Дополнительные сведения о предпочтениях групповой политики см. на домашней странице групповой политики Windows Server.
Создание новых локальных групп
Создание новой локальной группы на множестве рабочих столов может оказаться непростой задачей. Предпочтения групповой политики предоставляют простой способ сделать это почти для всех ваших настольных компьютеров и серверов Windows. Вы можете создать новую локальную группу на сервере или рабочем столе, нацелившись на объект компьютера или объект пользователя. В большинстве случаев, когда вы хотите создать новую локальную группу, вы будете ориентироваться на компьютерные объекты.
Для выполнения этой задачи создайте объект групповой политики и свяжите его с подразделением, которое содержит объект-компьютер, который вы хотите настроить. Отредактируйте объект групповой политики и откройте . Щелкните правой кнопкой мыши «Локальные пользователи и группы», затем выберите «Создать — локальная группа». Откроется диалоговое окно «Новая локальная группа», показанное на рисунке 1.
Рис. 1. Диалоговое окно «Новая локальная группа» при выборе учетной записи компьютера
Чтобы создать новую группу, выберите опцию «Создать» в раскрывающемся списке «Действие». Затем введите имя локальной группы, описание локальной группы и т. д. На рис. 2 показан пример создания новой локальной группы с именем LocalHelpDesk.
Рисунок 2: Новая локальная группа с именем LocalHelpDesk, созданная с помощью настроек групповой политики
Изменение членства в локальной группе с помощью предпочтений групповой политики
Независимо от того, создаете ли вы новые локальные группы или изменяете существующие группы, вы можете управлять членством в локальной группе с помощью предпочтений групповой политики. Хотя эту задачу можно выполнить с помощью групп с ограниченным доступом, которые некоторое время были в групповой политике ( ), использование предпочтений групповой политики для выполнения задачи обеспечивает более детальный контроль.
Группы с ограниченным доступом — это элемент управления «удалить и заменить», который возьмет текущий список членов группы и удалит их, прежде чем заменить их списком пользователей и групп, настроенным в политике.
Предпочтение групповой политики для локальных групп сильно отличается. Здесь у вас есть возможность контролировать, какие учетные записи пользователей и групп добавляются, какие удаляются, и даже управляют удалением всех пользователей и/или групп, прежде чем получить детальный контроль. На рис. 3 показано, как может выглядеть конфигурация после того, как вы начнете управлять своей новой группой LocalHelpDesk.
Рисунок 3. Членами локальных групп можно детально управлять
Обратите внимание, что флажки «Удалить все учетные записи пользователей» и «Удалить все учетные записи групп» можно оставить снятыми или настроить. Если вы настроите оба этих флажка, политика локальной группы будет вести себя так же, как и группа с ограниченным доступом.
Еще одним ключевым моментом является возможность контролировать добавление или удаление нового пользователя или группы. На рис. 4 показано, как выглядит этот параметр при добавлении новой группы в список участников, что дает вам возможность добавлять или удалять группу из локальной группы, которой вы управляете.
Рисунок 4: Члены настроенной группы могут быть добавлены или удалены
Управление локальными администраторами или другой локальной группой
Если вы хотите управлять существующей локальной группой, вы также можете легко это сделать. Мы только что рассмотрели ситуацию, когда мы изменили членство в группе. Однако есть еще кое-что. Здесь я хочу сосредоточиться на локальной группе администраторов, которая необходима для управления локальным компьютером. Если пользователь имеет членство в этой группе, этот пользователь может делать с компьютером все, что угодно, независимо от желаний и настроек домена. Таким образом, крайне важно, чтобы вы управляли членством в этой группе.
В большинстве случаев администраторы хотят, чтобы группа администраторов домена и локальная учетная запись администратора были членами локальной группы администраторов. Кроме того, администраторы обычно не хотят, чтобы учетная запись пользователя компьютера была членом локальной группы администраторов.
Чтобы все это произошло в течение нескольких минут после настройки предпочтения групповой политики, настройте новую локальную групповую политику в узле а не в узле «Конфигурация компьютера». На рис. 5 показано, почему вы хотите настроить политику в узле «Конфигурация пользователя».
Рисунок 5: Локальная групповая политика в узле «Конфигурация пользователя»
Обратите внимание, что локальная групповая политика на рис. 5 имеет новый флажок «Удалить текущего пользователя». Это удалит учетную запись пользователя, которая использовалась для входа на компьютер, из локальной группы администраторов. Как видите, это чрезвычайно мощная настройка. Объедините это с добавлением администраторов домена и локального администратора, что также показано на рис. 5, и теперь вы выполнили то, на что у вас могут уйти недели всего за несколько минут.