Как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 / 2012R2
Как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 / 2012R2
Добрый день! Уважаемые читатели и гости, крупнейшего IT блога России Pyatilistnik.org. Сегодня я хочу посвятить пост на тему безопасности, в локальных системах Microsoft. В целях безопасности встроенную учетную запись Администратор отключают, а в место не создают вою с мудреным логином. Как отключить встроенную учетную запись Администратор, можно прочитать тут. Теперь давайте создадим свою и разберемся, как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 / 2012R2
Открываем редактор групповой политики
Как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 — 2012R2-01
Выбираем нужное подразделение и правым кликом создаем новую политику
Как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 — 2012R2-02
Задаем название политики
Как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 — 2012R2-03
После создания давайте отредактируем политику.
Как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 — 2012R2-04
Идем в конфигурация компьютера-Настройка-Параметры панели управления-Локальные пользователи. Щелкаем правым кликом по пустому месту и выбираем Локальный пользователь
Как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 — 2012R2-05
Выбираем Создать и заполняем все поля. В моем случае логин будет Adminchik и пароль Papiro$$@
Как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 — 2012R2-06
Дальше добавим его в группу Администраторы, для этого правым кликом Локальная группа
Как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 — 2012R2-07
Сверху ставим Обновить, группу Администраторы и жмем снизу добавить
Как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 — 2012R2-08
Пишем логин нашего пользователя Adminchik и жмем ок.
Как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 — 2012R2-09
Видим, что пользователь добавился, теперь проверим, залогинившись на любой комп из данного OU и обновив политику gpupdate /force и зайдя в локальные пользователи видим что все отлично применилось.
Как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 — 2012R2-11
Локальный администратор windows server 2012
Для управления пользователями, также как и группами, в домене под управлением Windows Server, необходимо сначала создать этого пользователя. Для этого используется соответствующий механизм в виде оснастки «Управление компьютером«. Процедура заведения пользователя в домене простая.
Заведение пользователя в домене.
Выполняется в несколько шагов:
1. Открываем оснастку «Управление компьютером«. Проще всего это сделать нажав правой клавишей мышки на меню «Пуск«, далее выбираем «Администрирование«, затем «Пользователи и компьютеры Active Directory«. Второй вариант — комбинация клавиш Win+R, в открывшемся окне пишем compmgmt.msc, затем просто «Enter«.
2. В следующем окне «Active Directory — пользователи и компьютеры» нажимаем правой мышки на необходимом контейнере (например «Users«), в появившемся меню выбираем «Создать«, затем «Пользователь«.
3. Далее мы заполняем для нового пользователя:
- Имя — имя пользователя;
- Инициалы — инициалы пользователя (необязательно);
- Фамилия — фамилия пользователя;
- Полное имя — заполниться автоматически, после заполнения предыдущих пунктов;
- Имя входа пользователя — логин;
- Имя входа пользвателя (пред-Windows 2000) — заполнится автоматически, после заполнения имени входа пользователя.
Нажимаем кнопку «Далее» и попадаем в следующее меню.
4. В следующем окне достаточно указать пароль пользователя и подтверждение пароля, и нажать «Далее«. При этом когда пользователь домена зайдет на компьютер под своим логином и паролем, то система предложит ему сменить пароль. Зайти в систему будет возможно только при смене и подтверждении нового пароля.
5. Последнее окно служит для окончательной проверки правильности создания нового пользователя. Проверяем и нажимаем «Готово«. Новый пользователь будет создат в нужном контейнере и может работать в домене под своим логином и паролем.
Если что не понятно, можно посмотреть видео здесь:
Добавление пользователей в локальную группу администраторов через GPO
С помощью доменных групповых политик вы можете добавить необходимых пользователей AD (или группы) в локальную группу администраторов на серверах или рабочих станциях. Так можно предоставить права локального администратора на компьютерах домена сотрудникам техподдержки, службе HelpDesk, определенным пользователям и другим привилегированным аккаунтам. В этой статье мы покажем насколько способов управления членами локальной группы администраторов на компьютерах домена через GPO.
Особенности использования группы локальных администраторов в домене Active Directory
При добавлении компьютера в домен AD в группу Administrators автоматически добавляется группы Domain Admins, а группа Domain User добавляется в локальную Users.
Самый простой способ предоставить права локального администратора на определенном компьютере – добавить пользователя или группу в локальную группу безопасности Administrators через локальную оснастку “Локальные пользователи и группы” (Local users and groups — lusrmgr.msc). Однако такой способ очень неудобен, если компьютеров много и со временем в группах локальных администраторов обязательно окажутся лишние личности. Т.е. при таком способе предоставлении прав неудобно контролировать состав группы локальных администраторов.
В классических рекомендациях по безопасности Microsoft рекомендуется использовать следующие группы для разделения полномочиями администраторов в домене:
- Domain Admins – администраторы домена, используются только на контроллерах домена;
Допустим, нам нужно предоставить группе сотрудников техподдержки и HelpDesk права локального админа на компьютерах в конкретном OU. Создайте в домене новую группу безопасности с помощью PowerShell и добавьте в нее учетные записи сотрудников техподдержки:
New-ADGroup «mskWKSAdmins» -path ‘OU=Groups,OU=Moscow,DC=winitpro,DC=ru’ -GroupScope Global –PassThru
Add-AdGroupMember -Identity mskWKSAdmins -Members user1, user2, user3
Откройте консоль редактирования доменных групповых политик (GPMC.msc), cоздайте новую политику AddLocaAdmins и назначьте ее на OU с компьютерами (в моем примере это ‘OU=Computers,OU=Moscow,dc=winitpro,DC=ru’).
В групповых политиках AD есть два метода управления локальными группами на компьютерах домена. Рассмотрим их по-очереди:
- Ограниченные группы (Restricted Groups)
- Управление локальным группами через предпочтения групповых политик (Group Policy Preferences)
Добавление пользователей в локальную группу администраторов через Group Policy Preferences
Предпочтения групповых политик (Group Policy Preferences, GPP) предоставляют наиболее гибкий и удобный способ предоставления прав локальных администраторов на компьютерах домена через GPO.
- Откройте созданную ранее политику AddLocaAdmins в режиме редактирования;
- Перейдите в секцию GPO: Computer Configuration –> Preferences –> Control Panel Settings –> Local Users and Groups;
- Щелкните ПКМ по правому окну и добавите новое правило (New ->Local Group);
- В поле Action выберите Update (это важная опция!);
- В выпадающем списке Group Name выберите Administrators (Built-in). Даже если эта группа была переименована на компьютере, настройки будут применены к группе локальных администраторов по ее SID — S-1-5-32-544;
- Нажмите кнопку Add и укажите группы, которые нужно добавить в локальную группу администраторов (в нашем случае это mskWKSAdmins)
Вы можете настроить дополнительные (гранулярные) условия нацеливания данной политики на конкретные компьютеры с помощью WMI фильтров GPO или Item-level Targeting. Во втором случае перейдите на вкладку Common и отметьте опцию Item-level targeting. Нажмите на кнопку Targeting. Здесь вы можете указать условия, когда данная политика будет применяться. Например, я хочу, чтобы политика добавления группф администраторов применялась только к компьютерам с Windows 10, чьи NetBIOS/DNS имена не содержат adm . Вы можете использовать свои условия фильтрации.
Не рекомендуется добавлять в этой политики индивидуальные аккаунты пользователей, лучше использовать доменные группы безопасности. В этом случае, чтобы предоставить права администраторов очередному сотруднику тех. поддержки, вам достаточно добавить его в доменную группу (не придется редактировать GPO),
Управление локальными администраторами через Restricted Groups
Политика групп с ограниченным доступом (Restricted Groups) также позволяет добавить доменные группы/пользователей в локальные группы безопасности на компьютерах. Это более старый способ предоставления прав локального администратора и сейчас используется реже (способ менее гибкий, чем способ с Group Policy Preferences).
- Перейдите в режим редактирования политики;
- Разверните секцию Computer Configuration -> Policies -> Security Settings -> Restrictred Groups (Конфигурация компьютера -> Политики -> Параметры безопасности -> Ограниченные группы);
- В контекстном меню выберите Add Group;
- В открывшемся окне укажите Administrators -> Ok;
- В секции “Members of this group” нажмите Add и укажите группу, которую вы хотите добавить в локальные админы;
- Сохраните изменения, примените политику на компьютеры пользователей и проверьте локальную групп Administrators. В ней должна остаться только указанная в политике группа.
Предоставление прав администратора на конкретном компьютере
Иногда нужно предоставить определенному пользователю права администратора на конкретном компьютере. Например, у вас есть несколько разработчиков, которым периодически необходимы повышенные привилегии для тестирования драйверов, отладки, установки на своих компьютерах. Нецелесообразно добавлять их в группу администраторов рабочих станций на всех компьютерах.
Чтобы предоставить права лок. админа на одном конкретном компьютере можно использовать такую схему.
Прямо в созданной ранее политике AddLocalAdmins в секции предпочтений (Computer Configuration –> Preferences –> Control Panel Settings –> Local Users and Groups) создайте новую запись для группы Administrators со следующими настройками:
- Action: Update
- Group Name: Administrators (Built-in)
- Description: “Добавление apivanov в лок. администраторы на компьютере msk-ws24”
- Members: Add -> apivanov
- На вкладке Common ->Targeting указать правило: “the NETBIOS computer name is msk-ws24”. Т.е. данная политика будет применяться только на указанном здесь компьютере.
Также обратите внимание на порядок применения групп на компьютере – Order. Настройки локальных групп применяются сверху вниз (начиная с политики с Order 1).
Первая политика GPP (с настройками “Delete all member users” и “Delete all member groups” как описано выше), удаляет всех пользователей/группы из группы локальных администраторов и добавляет указанную доменную группу. Затем применится дополнительная политика для конкретного компьютера и добавит в администраторы указанного пользователя. Если нужно изменить порядок применения членства в группе Администраторы, воспользуйтесь кнопками вверху консоли редактора GPO.