Групповая политика: права администратора для определенных пользователей на определенных компьютерах

Ответ Izzy прекрасен, если Вы не заботитесь, что Группа администраторов будет эффективно заблокирована из будущих изменений от локальной машины. Это также уничтожит любые группы, которые уже были членами Группы администраторов, прежде чем установка политики была применена.

Однако можно использовать ту же установку политики немного отличающимся способом обойти те раздражения (предполагающий ровное рассмотрение их раздражениями).

• Создайте структуру OU/Group тот же путь как прежде
• Когда Вы находитесь в разделе Restricted Groups объекта групповой политики, Add Group, но вместо того, чтобы указать Администраторов, указываете YOURDOMAIN\Local-Admins-Tablets.
• В разделе "This group is a member of" нажмите Add и введите Администраторов

Это - тонкое, но важное различие в способе, которым работают два раздела. Члены этой группы эффективно удаются, чтобы быть "Группой A, будет только когда-либо содержать Группы X, Y и Z". Эта группа является членом, эффективно удается, чтобы быть, "Удостоверяются, что Группа A является членом Групп X, Y и Z".

После того как Вы установили политику с членами этой группы, единственной вещью, которая может изменить членство группы, является переопределяющий объект политики, который также использует членов этой группы, или любая другая политика с помощью Этой группы является членом.

На все кажется, что действительно необходимо сделать, создают групповую политику, которая добавляет Доменную Группу к группе локальных администраторов. Это довольно легко для выполнения с простым сценарием запуска или с Предпочтениями Групповой политики.

Простой сценарий запуска для добавления элементов группы.

DomainName="example"
Set oShell = WScript.CreateObject("WScript.Shell")
Set oProcsEnv = oShell.Environment("Process")
ComputerName = oProcsEnv("COMPUTERNAME")
Set oGroup = GetObject("WinNT://" & ComputerName & "/" & "Administrators")
If Not oGroup.IsMember("WinNT://"&DomainName&"/_Group_Tablet_Admins") Then _
    oGroup.Add ("WinNT://"&DomainName&"/_Group_Tablet_Admins")

Вы говорите, что добавление новых наймов - то, что стычка, но разве оно не должно добавлять новые планшеты, которые были бы стычкой?

Я сделал бы что-то вдоль этих строк:

Имейте группу безопасности домена, которая содержит всех пользователей, которые должны быть администраторами на планшетных ПК (т.е. TabletAdministrators).

На каждом планшете добавьте что группа к Группе администраторов.

Является ли это надлежащей техникой или нет, я не знаю. Это - просто первая идея, которая прибывает ко мне о том, как реализовать.

Единственная проблема с перечисленным решением состоит в том, что оно предоставляет локальные права администратора всем машинам, где та политика применяется. Обычно Вы хотели бы предоставить права администратора определенной машине только. То, что я наблюдал, - когда пользователь понимает, что у них есть локальные права администратора, они идут, устанавливая программное обеспечение для всех их помощников.

Существует много различных способов, которыми можно сделать это, но я мог бы просто предложить тот. Так завершите шаги как выше, но также и создайте группу для каждого компьютера, где пользователям нужны дополнительные права. Каждая из этих "Компьютерных Групп" добавляется к myDomain\Local-администраторской группе.

Пользователи затем добавляются к группе, которая соответствует машине, к которой они нуждаются в доступе.

Таким образом, они - администратор, но только той машины.

Я написал сценарий, который выполняется как политика компьютера с правами администратора на локальной рабочей станции. Он проверяет последнее вошедшее в систему описание пользователя в AD, которое администратор домена может установить в «Active Directory Users and Computers», если оно содержит имя рабочей станции, сценарий добавляет пользователя в локальную группу администраторов, если имя рабочей станции не находится в Описание пользователя, он удаляет пользователя из локальной группы администраторов. Описание может включать более одного имени компьютера, например:

Описание пользователя: «Локальный администратор на WKST-E445R и WKST-VM398»

Итак, чтобы сделать кого-то локальным администратором только на одной машине, мне достаточно чтобы добавить имя этого компьютера к описанию пользователя в AD и попросить пользователя перезагрузиться , а удаление имени компьютера удаляет права локального администратора.

Разве это не лучшее решение на свете? : -)

Вот сценарий:

    @if "%debug%" neq "%username%" echo off
set ver=MakeLocalAdmin.cmd henrik@c o m m o r e.se 20150423
:: Adds last logged on domain user to local Administrators group if run by computer GPO with Administrative rights and the user's Comment contains Computername

set log=nul
:: or set log=c:\logs\MakeLocalAdmins.txt

:: Check who was last logged on user
FOR /F "tokens=3 delims= " %%G in ('reg query "hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v LastLoggedOnUser') DO (
set DomainAndUserName=%%G)

:: Remove the spaces
set DomainAndUserName=%DomainAndUserName: =%

:: Get only username part
set LastLoggedOnUserName=%DomainAndUserName:*\=%


:: Check OS language, so we can adapt to localized name of Admin group and Comment
FOR /F "tokens=3 delims= " %%G in ('reg query "hklm\system\controlset001\control\nls\language" /v Installlanguage') DO (
set Language=%%G)

echo %date% %Time% ; %0 ; %computername%; %LastLoggedOnUserName%; %DomainAndUserName%, %Language% >> %log%
goto %Language%

:: Add any langauage specific part below, but if an unknown install language is found,
:: an error 'label not found' should mean script terminates, but anyway make sure it terminates. 
goto end

:0409
:: English
net user /domain %LastLoggedOnUserName% | find "Comment " | find "%computername%" >> %log%
set NoLocalAdmin=%errorlevel%
if %NoLocalAdmin% equ 0 net localgroup Administrators /add "%DomainAndUserName%" >> %log%
if %NoLocalAdmin% equ 1 net localgroup Administrators /del "%DomainAndUserName%" >> %log%
goto end

:041D
:: Swedish 
:: †„” åäö (Swedish char's)
net user /domain %LastLoggedOnUserName% | find "Kommentar " | find "%computername%" >> %log%
set NoLocalAdmin=%errorlevel%
if %NoLocalAdmin% equ 0 net localgroup Administrat”rer /add "%DomainAndUserName%" >> %log%
if %NoLocalAdmin% equ 1 net localgroup Administrat”rer /del "%DomainAndUserName%" >> %log%
goto end



:end