Защита группы локальных администраторов на каждом компьютере

Если ваша компания схожа с большинством остальных компаний, значит ваши пользователи работают под учетными записями локальных администраторов на своих компьютерах. Существуют решения, способные избавить от такой необходимости, а именно такое направление должны выбрать все компании. Когда пользователи работают от имени учетных записей локальных администраторов, ИТ персонал не контролирует этих пользователей или их компьютеры. Чтобы вы могли защитить группы локальных администраторов на всех компьютерах, вам нужен мощный инструмент. Обычно существует три различных задачи, которые необходимо выполнить для защиты этих групп. Эти задачи мы рассмотрим в данной статье. Windows Server 2008 и Windows Vista SP1 (с установленным RSAT) обладает новыми удивительными органами управления, которые позволяют произвести эти настройки очень быстро!

Задача 1 – удаление доменной учетной записи пользователя

Изначальная задача по защите группы локальных администраторов состоит в том, чтобы убедиться, что ни один пользователь больше не принадлежит к этой группе. Это проще сказать, чем сделать, так как большинство компаний настроили пользовательские учетные записи домена на принадлежность к этой группе во время установки пользовательского компьютера.

Представьте ситуацию, в которой вам удалось решить проблему принадлежности пользователей к группе локальных администраторов, и теперь вам нужно удалить доменные пользовательские учетные записи из группы локальных администраторов на каждом компьютере в вашей среде. У вас есть всего 10,000 настольных компьютеров, лэптопов и удаленных пользователей, поэтому перед вами стоит небольшая задача (ну, да, как бы ни так!).

Если вы создадите сценарий для выполнения этой задачи, вам нужно, чтобы пользователи вышли из системы и затем вошли обратно. Вряд ли такое возможно даже на половине машин, поэтому вам нужен другой вариант.

В качестве идеального решения вы можете использовать локальную группу ' привилегии политики групп, чтобы выполнить это задание в течение полутора часов применения. Чтобы выполнить эту работу, вам просто нужно отредактировать объект политики групп (GPO) и настроить следующую политику: конфигурация пользователя \привилегии \настройки панели управления \локальные пользователи и группы \новый \локальная группа, в результате чего у вас откроется диалоговое окно свойств новой локальной группы, как показано на рисунке 1.

 
Рисунок 1: Локальная группа GPP, позволяющая вам контролировать принадлежность к локальной группе администраторов

После того, как вы откроете это окно свойств, просто выберите кнопку «Удалить текущего пользователя». Это удалить все пользовательские учетные записи, которые находятся в пределах управления GPO, содержащего этот параметр. Этот параметр вступит в силу во время следующего фонового обновления групповой политики, что займет менее 90 минут.

Задача 2 – Добавление доменных и локальных администраторов

Следующей фазой вашей защиты группы локальных администраторов будет обеспечение того, чтобы глобальная группа доменных администраторов (Domain Admins) и учетная запись локального администратора были добавлены в группу локальных администраторов на каждом компьютере.

Многие пытались сделать это, используя политику ограниченных групп, которая была в групповой политике Windows Active Directory Group Policy. Проблема этого решения заключается в том, что политика ограниченных групп является политикой 'удаления и замены', а не политикой 'дополнения'. Таким образом, когда вы настраиваете политику на выполнение этой задачи, вы стираете содержимое группы локальных администраторов, заменяя его только этими двумя учетными записями.

Используя политику локальных пользователей и групп, которая была описана в задаче 1, вы не только не можете удалить работающего пользователя, но вы можете добавить две ключевые учетные записи, которые обеспечат соответствующий набор административных привилегий на каждом компьютере, как показано на рисунке 2.

 
Рисунок 2: Добавление учетных записей в группу локальных администраторов – это просто

Задача 3 – Удаление определенных учетных записей

Последняя стадия защиты группы локальных администраторов заключается в том, чтобы включить только нужные учетные записи в эту группу. Во многих случаях были группы из доменов, добавленные в группу локальных администраторов для выполнения определенных задач, завершения проекта или осуществления обслуживания. Если эти группы больше не нужны в группе локальных администраторов, вы можете просто удалить их с помощью новой политики локальных пользователей и групп.

Подобно тому, как вы добавляли две новые учетные записи в задаче 2, вы можете добавлять учетные записи (которые нужно удалить) в политику. Для этого просто выберите опцию 'Удалить из этой группы', когда добавите учтенные записи в политику, как показано на рисунке 3.

 
Рисунок 3: Удаление определенных пользователей или групп из группы локальных администраторов возможно

Теперь у вас есть полный контроль над принадлежностью к группе локальных администраторов и даже возможность удаления учетной записи пользователя или группы, которая не должна входить в группу локальных администраторов.

Получение инструмента и правила

Я уже неоднократно говорил об использовании привилегий групповой политики, которые включены в Windows Server 2008 и Vista. Для того чтобы вы смогли воспользоваться этими параметрами, вам нужно иметь что-то из нижеперечисленного в своей сети:

  • Сервер Windows Server 2008
  • Windows Vista SP1, с установленным комплектом инструментов Remote Server Administrative Toolset

Обе этих ОС идут с новой улучшенной консолью управления групповой политикой и редактором управления групповой политики.

Параметры, включенные в новые привилегии групповой политики, можно применять к следующим ОС:

  • Windows XP SP2 и выше
  • Windows Server 2003 SP1 и выше
  • Windows Vista SP1 и выше
  • Windows Server 2008 и выше

Извините, к Windows 2000 не применяется!

Резюме

На 100% верно то, что ИТ персонал не имеет контроля над компьютером там, где пользователь обладает привилегиями локального администратора. Всем компаниям необходимо вернуть контроль над компьютерами, а также защитить группу локальных администраторов. Эти шаги теперь возможно благодаря привилегиям групповой политики, которые включены в Windows Server 2008 и Vista. Вы можете вернуть контроль над компьютером и группой локальных администраторов всего за несколько кликов. Параметры вступят в силу в течение полутора часа на всех машинах, принадлежащих к домену и сети. Пользователям при этом не требуется выходить из системы и входить обратно, параметры политики просто применяются!

Дерек Мелбер (Derek Melber)