Задача:
Имеется домен под управлением MS Windows Server. Необходимо добавить нового локального администратора на все ПК в определенной группе в домене (или на все ПК в домене). Та локальная учетная запись, которую нужно сделать администратором на всех ПК, в домене не включена ни в какие группы Администраторов. То есть для домена эта обычная учетная запись с правами «Пользователи домена».
При этом необходимо, чтобы те пользователи, которые уже включены в группы администраторов на локальных ПК сохранились.
Решение:
Системы на базе Windows 7 и выше поддерживают расширения обычных групповых политик, называемые Предпочтениями (Preferences). Предпочтения настраиваются в объектах групповых политик, хранящихся в доменах Active Directory на базе серверов Windows Server 2008 и выше. При необходимости настройки Предпочтений в домене на базе серверов Windows Server 2003 и 2003 R2, необходимо иметь в домене компьютер с ОС MS Windows 7 и выше с установленными RSAT (средствами удаленного администрирования сервера).
С помощью предпочтений конфигурируется рабочая среда клиентских компьютеров, и хотя действия, выполняемые с помощью предпочтений, можно реализовать посредством стандартных групповых политик, предпочтения использовать намного удобнее и проще.
Для добавления пользователей в локальные группы с помощью предпочтений открываем оснастку «Управление групповой политикой», находим группу, в которую входят компьютеры, на которых нужно добавить нового администратора и открываем на изменение связанную политику:
В открывшемся окне «Редактор управления групповыми политиками» раскрываем дерево «Политика ...» -> «Конфигурация компьютера» -> «Настройка» -> «Параметры панели управления» -> «Локальные пользователи и группы», кликаем по последней ветке правой кнопкой мыши (либо по пустому месту в области настроек (справа)) -> в контекстном меню выбираем «Создать» -> «Локальная группа»:
В открывшемся окне свойств локальной группы устанавливаем параметры:
-
Действие - Обновить (так как в данном случае нам нужно именно изменить группу, а не удалять и не переименовывать ее)
Здесь:-
Обновить (по умолчанию) - выбранные пользователи просто добавляются в локальную группу
-
Заменить - выбранные пользователи добавляются в группу, при этом все остальные члены группы удаляются
-
Создать - создается новая локальная группа, в которую добавляются выбранные пользователи
-
Удалить - удаляются все члены выбранной локальной группы
-
-
Имя группы - выбираем из раскрывающегося списка группу «Администраторы (встроенная учетная запись)»
-
Галочки «Удалить всех пользователей-членов этой группы» и «Удалить все группы-члены этой группы» нужно оставить пустыми
Нажимаем кнопку «Добавить» для добавления пользователя в группу Администраторы.
В открывшемся окне «Член локальной группы» в поле «Имя» выбираем нужного нам пользователя из списка пользователей Active Directory, а в поле «Действие» оставляем параметр «Добавить в эту группу»:
Теперь, после обновления политик на компьютерах, пользователь будет добавлен в группу локальных админов на всех рабочих станциях выбранной группы.