Server Admin Авторский блог системного администратора
Доброго времени суток, уважаемые форумчане!
Имею домен с множеством различных серверов по функционалу. Нужно делегировать полномочия локальных администраторов группе «adm_group1» для обслуживания только определённых серверов, например, «Server1», «Server3», «Server7».
В качестве отправной точки была использована вот эта статья:
«Добавляем доменных пользователей в локальную группу безопасности»
Реализовать свою задачу попытался через «Предпочтения групповой политики или Group Policy Preferences» с поправкой на «Security filtering».
- Создал новую группу «adm_group1» и поместил в неё нужных пользователей, которым планирую делегировать полномочия локальных админов
- Создал новую группу «Srv_maintenance1», куда собственно и поместил нужные сервера – «Server1», «Server3», «Server7»
- Создал новую групповую политику для делегирования полномочий, используя метод предпочтений следуя указанной выше статье.
- В разделе «Security filtering» созданной политики заменил «Authenticated Users» на «Domain Computers» и туда же добавил группу «Srv_maintenance1» (которая содержит собственно нужные сервера), чтобы политика применялась только на указанные сервера.
- Прилинковал созданную политику на OU, где размещены ВСЕ сервера компании.
В итоге политика применилась на ВСЕХ серверах вместо избранных (тех что были указаны в группе «Srv_maintenance1»).
В связи с чем, прошу Вас помочь разобраться: что же я делаю не так?
Или есть какой-то более правильный способ решения поставленной задачи?
А эти три сервера так же в домене?
тупой вопрос задал =)) голова не варит под конец рабочего дня.
Так вот, Есть одна особенность, что политики не применяются на группы.
От той группы с серверами смысла нет.
Создали политики - ок., сделали по статье, добавили группу с пользоваками в группу лок. админов. далее во вкладке Security filtering уберите всё и добавьте эти три сервера явно, а не группу, в которую вы их поместили (объект - КОмьютер). Прилинковали к OU.
Так должно сработать.
Создали политики - ок., сделали по статье, добавили группу с пользоваками в группу лок. админов. далее во вкладке Security filtering уберите всё и добавьте эти три сервера явно, а не группу, в которую вы их поместили (объект - КОмьютер). Прилинковали к OU.
это следующее, что я сразу испробовал :) результат тот же - политика применяется на ВСЕ сервера в контейнере (OU), то есть такое ощущение, что не работает «Security filtering»....
хотя на других политиках отлично работает фильтрация как на группы, так и на отдельные объекты...
Особенности фильтрации также учитываю:
Так вот, Есть одна особенность, что политики не применяются на группы.
ну, тут вы меня рассмешили.... они потому и называются групповыми политиками, что применяются именно на группы объектов - будь-то пользователи или компьютеры!
Вспомню в какой книге читал, но на группы безопасности не действует
Под своим выражением политика на группы безопасности имелось ввиду, что невозможно прилинковать GPO на группу. Сорри, немного не так выразился :-)
А насчёт того, что в фильтрах указываете группу с серверами, а фильтр не работает, так на форуме писали, что обновление виновато
А вам неудобно будет, если в ою с серверами создать под об и туда запихнуть эти три сервака далее ликовать уже на под оюшку?
- В разделе «Security filtering» созданной политики заменил «Authenticated Users» на «Domain Computers» и туда же добавил группу «Srv_maintenance1» (которая содержит собственно нужные сервера), чтобы политика применялась только на указанные сервера.
- Прилинковал созданную политику на OU, где размещены ВСЕ сервера компании.
В итоге политика применилась на ВСЕХ серверах вместо избранных (тех что были указаны в группе «Srv_maintenance1»).
Тут и была моя ключевая ошибка - ведь я указал применяться политике и на «Domain Computers» вместе с «Srv_maintenance1»!!!
То есть, чтобы всё заработало как задумано - нужно оставить в разделе «Security filtering» только «Srv_maintenance1» (которая содержит собственно нужные сервера)
