Správa skupín pomocou GPO
Správu lokálnych skupín pomocou GPO je možné realizovať nasledujúcimi spôsobmi:
1. Restricted groups – „Computer Configuration/Windows Settings/Security settings/Restricted
groups“
2. Group Policy preferences - user and group management – „Computer
Configuration/Preferences/Control Panel Settings/Local users and groups“
Restricted groups
Restricted groups umožňujú jasne definovať členov a prácu s lokálnymi skupinami. V prípade použitia
“Restricted groups“ sú lokálne nastavenia ignorované a obsah skupiny je prepísaný nastavením GPO.
Členovia, ktorí nie sú uvedení v GPO budú ostránení zo spravovanej skupiny. Výnimka je užívateľ
Administrator a jeho členstvo v lokálnej skupine Administrators.
Restricted groups sú nadradené nad Group Policy preferences.
Ukážka:
Group Policy preferences – Local users and groups
Local users and groups v GPO časti preferences umožňuje vytvoriť a spravovať lokálne skupiny.
V prípade využitia tejto časti GPO je potrebné rozlíšiť 4 základne akcie:
1. Create – vytvorí novú skupinu ak neexistuje
2. Replace – vytvorí novú skupinu ak neexistuje. V prípade, že existuje, zmaže skupinu a vytvorí ju
znova. Dochádza k zmene SID.
3. Update - vytvorí novú skupinu ak neexistuje. V prípade, že existuje, využije ju. SID sa nemení.
4. Delete – odstráni skupinu
Ďalšie nastavenia umožňujú spravovať členov skupiny.
Restricted groups sú nadradené nad Group Policy preferences. Nie je možné ich použiť súčasne.
Ukážka:
Pozor:
- Pri práci s existujúcimi skupinami dávajte pozor na existujúcich členov
- Nezanedbajte rozdiel medzi Update a Replace. SID je jednoznačný identifikátor v prostredí MS.
- Restricted groups sú nadradené nad Group Policy preferences
Ďalšie zdroje informácii:
https://support.microsoft.com/en-us/help/279301/description-of-group-policy-restricted-groups
https://technet.microsoft.com/en-us/library/cc731972(v=ws.11).aspx
https://www.youtube.com/watch?v=9INahehBtVI
https://www.youtube.com/watch?v=aSkLv25A4zI