用组策略管理本地AD组
2015-12-03■
■
通过GPRG管理本地AD组
尽管AD本身具有集中管理功能,但有时我们依然需要通过本地组进行某些授权和识别。例如我们经常遇到,为了实现远程调度或调用某些应用,需要将某个特定用户账户加入到网络每台机器上的本地Administrator组当中。有时,为了防止发生一些意外情况,例如某些拥有本地管理员权限的用户试图将Domain Admins组从其本地机的Administrators组剔除。凡此种种,都需要通过组策略进行更加严格有效的制约和管理。
GPRG(Group Policy Restricted Groups),是 组 策略对象GPOs(Group Policy Objects )中一项内置功能,简称 RG(Restricted Groups),它可以控制AD域内任何机器中的本地组及域内成员关系。需要明确的是,RG仅影响机器账户而非用户账户,此即意味着我们调用GPOs所关联的是含有机器账户的组织单元OUs(organizational units)。如果我们编辑的是默认域GPO,那么将作用于此域内所有机器。如果编辑的是默认域控制器GPO,那么将作用于此域内所有域控制器。但是,RG并不是GPO的缺省配置,为了使用它就需要有配置环节。那么如何使用RG呢?
RG在用户组的使用方面非常丰富,比如我们将用户加入组内,也可将不在名单内的用户或组通过RG移除。另外,可以通过RG让所有Local Administrators组 内 的Domain Admins组保持成员关系。尤其是,RG能够控制关键组成员,比如Domain Admins,Enterprise Admins以及Schema Admins组,出于安全需要,防止非法账户进入这些组内,并能够管理文件服务器上本地组的成员关系,从AD域内添加全局组,从而保持组成员关系的一致性。
RG还可以进行“预配置”,例如我们可以设置一个组为“Future Local Group”,添加一个用户名为“Future User”,可当时并没有这样的组和用户存在,看似无意义,但此后出现这样的组和用户就会自动完成配置。在Windows Server 2012R2中生成RG的步骤如下。
图 1 选择“Add Group“
图2 生成组名称
1.在 G P O 内,找 到 项 目“Computer Configuration→Policies→ Windows Settings→Security Settings”, 点 击“Restricted Groups” 后再右点“Restricted Groups” ,选择“Add Group”(如图 1)。
2.手工输入组名,该名字可以是已有的,也可以是没有的,假如需要控制已有的AD组,那么该组必须是基于AD的组。当我们生成好组,就会在面板上显示出来,笔者是在成员服务器上生成的组,名为“Test Local Group”(如图 2)。
3.将该组添加到RG列表,双击新添加的组就会显示选项“Members of this group” (系组内成员),此选项可用于控制组内成员关系。需要明确的是,在我们配置组内成员时,组内现有的成员关系就会被覆盖,代之以GPO指定的成员,组内现有的成员马上就会移除,因此本操作一定要有备而行。
4.然后双击组名,点击“This group is a member of”上方的“Add”按钮,笔者添加的用户是位于AD内名为“testuser1″。
5.此时我们查看目标服务器或工作站上的相关组,该组内往往是空的,此时只要执行以下命令刷新GPO,就会看到组内的新成员:
C:w i n d o w ssystem32>gpupdate /force
6.刷新GPO后,我们可以试验在成员服务器上从本地组移除成员后,发现它马上又会添加出现;此时,编辑GPO并添加第二个用户到列表,那么在刷新后就会发现新成员又添加到组内,不过,组成员关系只有在用户下次登录后才会生效。
7.现在,如果将刚才添加的两个用户从组内移除,并添加第三个用户,那么就会看到第三个用户加入到组内,前两个用户确实移除了。作为技术实验,清空“Members of this group”列表,会看到在刷新之后组内确实为空。需要明确的是,由GPO被删除或修改而导致RG移除,那么此前通过手工方式添加的用户需要进行再次添加。
通过组策略管理本地AD组
在GPO中的Restricted Groups settings设置窗口有一个选项是“This group is a member of”,它其实是一个控件,可以将指定的组加入到其他组中。由于该选项仅适用于组之间,所以它并不能将单独用户加到组内,如果我们需要将某个用户加入到一个或多个组中,那么首先需要生成组,然后把用户加到组内,并进行RG(Restricted Group)设置。
配 置“This group is a member of”选项的方式为:
(1)新建一个RG,输入组名后双击之,然后点击窗口内“Members of this group”旁的“Add”按钮,笔者将该组命名为“Add to Test Local Group”,它位于AD内,准备将其添加到本地组“Test Local Group”内。
(2)刷新GPO后,将会看到该组添加到成员服务器上的本地组内。
图3 选择“New→Local Group”
总之,该选项对于组关系的管理带来了一定便利。
通过GPP管理本地AD组
GPP,即“组 策 略 预 设”(Group Policy Preferences)。通过本地组GPP设置,管理员可以集中对本地组进行新建/删除/重命名,同时可以改变本地组成员关系。在Windows Server 2012 R2中的GPP与RG不同之处在于,它支持将用户和组作为成员添加,同时又不会影响当前的组成员关系,这对于组成员关系的管理非常有利。在GPP中 使 用“Local Users and Groups”的方法如下。
第一步,在GPO中,浏览并扩展项目:“Computer Con figuration→Preferences→Contr ol Panel Settings”,点击“Local Users and Groups”后 右 击“Local Users and Groups”,选择“New→Local Group”(如图 3)。
第二步,出现属性对话 框“New Local Group Properties”,在 组 策 略 的Action中有4种选项:
(1)Create:在本地机上新建本地组,如果本地组存在则不会改动。
(2)Replace:删除和重建本地组,它会覆盖本地组已有的所有设置,如果本地组不存在,则新建本地组,新组将有一个新的SID,从而防止组访问资源。
(3)Update:可以修改设置和重命名,它与Replace选项不同的是,它不会生成具有新型SID的新组,也不同于delete选项,如果本地组不存在,Update选项会新建一个本地组。
(4)Delete:将本地组从本地机移除。
第三步,这里笔者选择Update选项,输入本地组设置,此时可以采用内置组,也可以自行输入组名,此时我们可以对组进行各种操作,如重命名、在组内加减用户、删除所有用户或组。点击Add按钮对特定用户或组进行配置,可以同时对多个用户或组添加或删除。当GPO刷新后,可以看到新成员添加到组,它当然是基于AD的组。