Как в групповой политике дать права админа

Добавление доменных пользователей в группу администраторов Многие задачи, например работа с клиент-банками, требует, чтобы у доменного пользователя была учетная запись локального администратора.

как в групповой политике дать права админа

Вводить учетную запись доменного пользователя непосредственно в панели управления — это не вариант, так как, например, при увольнении пользователя необходимо будет удалять пользователя из группы локальных администраторов вручную на всех компьютерах, где этот пользователь работал. Тем более, если есть необходимость ввести доменного пользователя в группу локальных администраторов быстро на нескольких компьютерах.

как в групповой политике дать права админа

Решение этого вопроса нашлось на сайте windowsnotes. Так как в целях безопасности лучше работать с группами, то необходимо создать сначала глобальную доменную группу безопасности и ввести в нее пользователя или пользователей, которым необходимы права локального администратора.

Нажимаем правой кнопкой мыши на необходимой политике и выбираем "Изменить".

Обсуждаемое

Откроется Редактор управления групповыми политиками. Выбираем "Локальные пользователи и группы".

Группы пользователей Windows и их права

На данном моменте список пуст. Выйдет окошко, в котором можно выбрать: Обновить по умолчанию — выбранные пользователи просто добавляются в локальную группу; Заменить — выбранные пользователи добавляются в группу, при этом все остальные члены группы удаляются; Создать — создается новая локальная группа, в которую добавляются выбранные пользователи; Удалить — удаляются все члены выбранной локальной группы.

как в групповой политике дать права админа

Так как цели создать новую группу на локальных компьютерах нет, а тем более удалять уже имеющихся администраторов, то оставляем по умолчанию "Обновить". Соответственно не ставим галочки: Удалить всех пользователей - членов этой группы Удалить все группы - члены этой группы.

как в групповой политике дать права админа

Группу безопасности мы создали ранее, поэтому нам необходимо просто найти ее в домене. Нажимаем на кнопку выбора группы.

как в групповой политике дать права админа

Выбираем группу безопасности и нажимаем Ок. Доменные пользователи просто будут добавлены в группу администраторов локальных компьютеров. В Локальных пользователях и группах у нас создалась группа. При необходимости можно легко удалить, в созданной группе доменного пользователя, добавить нового и так далее.

как в групповой политике дать права админа

Но давать права или пароль от учетной записи администратора домена, пусть даже продвинутому пользователю, пожалуй, худший из возможных вариантов.  В итоге остановился на достаточно гибком решении при помощи групповых политик.

как в групповой политике дать права админа

Затем открываем Пуск -> Администрирование -> Управление групповой политикой открываем в лесу необходимую политику (в данном случае Default Domain Policy).

как в групповой политике дать права админа

Есть домен в нем через групповую политику у всех машин отключены локальные учетки Гость, администратор и в локальную группу админов добавленна группа из домена куда занесены учетки людей занимающихся обслуживанние техники.

как в групповой политике дать права админа

Чтобы открыть консоль "Управление групповой политикой", нажмите кнопку Пуск, щелкните Выполнить, введите all-plants.ru, а затем нажмите кнопку ОК.  Введите имя группы, которой требуется назначить данное право.

как в групповой политике дать права админа

Назначал группе права через "назначение прав пользователям" в групповых политиках, но полного эквивалента админа не получил  Решением, наверное единственным в данном контексте, может быть создание вручную групп с правами.