Использование Restricted Groups для администрирования через Remote Desktop
Продолжение темы "Использование Remote Desktop совместно с AD для администрирования сети.
После настройки политик и получения доступа через Remote Desktop, эйфория зачастую быстро заканчивается, т.к. для подключения к удаленному рабочему столу, пользователь должен быть Domain Admins и\или в группе локальных администраторов на станции, к которой требуется подключение, что по в болшинстве случаев недопустимо и\или трудно реализуемо, в противном случае он получает отлуп в виде: "Интерактивный вход в систему на данном компьютере запрещен локальной политикой"
"Интерактивный вход в систему на данном компьютере запрещен локальной политикой"
Выход из этой ситуации - использование Restricted Groups
Месторасположение Restricted Groups - (кликните для увеличения)
Достаточно создать синоним локальной группы Administrators и добавить туда требуемую группу, к примеру MyDomain\RDP и члены группы RDP станут локальными администраторами, что позволит им входить на любую рабочую станцию не являясь Domain Admins.
Добавление группы RDP в локальные администраторы через Restricted Groups - (кликните для увеличения)
В итоге мы получим желаемый результат, и группа SOL\RDP появится в группе Administrators на локальной машине (по такому-же принципу ест-но можно добавлять и пользователей), но я категорически не рекомендую такой способ добавления, т.к. он влечет за собой довольно неприятный момент.
А именно - на всех компьютерах, где будет применена политика с использованием Restricted Groups, локальными администраторами останутся только Администратор и добавленная нами группа SOL\RDP, все же остальные, даже если они были лок. админами, перестанут ими быть, если же этих пользователей тоже добавить таким-же способом, то тогда они ест-но станут лок. админами всех рабочих станций, что сурово.
Поэтому мы добавим в Restricted Groups нашу группу SOL\RDP, а уже её в группу Administrators
Пример правильного использования Restricted Groups - (кликните для увеличения)
Ну вот, теперь члены группы SOL\RDP являются локальными администраторами и могут администрировать через Remote Desktop даже не являясь Domain Admins, при этом ранее созданные лок. админы на рабочих станциях остаются в целости и сохранности.
После настройки политик и получения доступа через Remote Desktop, эйфория зачастую быстро заканчивается, т.к. для подключения к удаленному рабочему столу, пользователь должен быть Domain Admins и\или в группе локальных администраторов на станции, к которой требуется подключение, что по в болшинстве случаев недопустимо и\или трудно реализуемо, в противном случае он получает отлуп в виде: "Интерактивный вход в систему на данном компьютере запрещен локальной политикой"
"Интерактивный вход в систему на данном компьютере запрещен локальной политикой"
Выход из этой ситуации - использование Restricted Groups
Месторасположение Restricted Groups - (кликните для увеличения)
Достаточно создать синоним локальной группы Administrators и добавить туда требуемую группу, к примеру MyDomain\RDP и члены группы RDP станут локальными администраторами, что позволит им входить на любую рабочую станцию не являясь Domain Admins.
Добавление группы RDP в локальные администраторы через Restricted Groups - (кликните для увеличения)
В итоге мы получим желаемый результат, и группа SOL\RDP появится в группе Administrators на локальной машине (по такому-же принципу ест-но можно добавлять и пользователей), но я категорически не рекомендую такой способ добавления, т.к. он влечет за собой довольно неприятный момент.
А именно - на всех компьютерах, где будет применена политика с использованием Restricted Groups, локальными администраторами останутся только Администратор и добавленная нами группа SOL\RDP, все же остальные, даже если они были лок. админами, перестанут ими быть, если же этих пользователей тоже добавить таким-же способом, то тогда они ест-но станут лок. админами всех рабочих станций, что сурово.
Поэтому мы добавим в Restricted Groups нашу группу SOL\RDP, а уже её в группу Administrators
Пример правильного использования Restricted Groups - (кликните для увеличения)
Ну вот, теперь члены группы SOL\RDP являются локальными администраторами и могут администрировать через Remote Desktop даже не являясь Domain Admins, при этом ранее созданные лок. админы на рабочих станциях остаются в целости и сохранности.
