Использование Restricted Groups для администрирования через Remote Desktop

Продолжение темы "Использование Remote Desktop совместно с AD для администрирования сети.

После настройки политик и получения доступа через Remote Desktop, эйфория зачастую быстро заканчивается, т.к. для подключения к удаленному рабочему столу, пользователь должен быть Domain Admins и\или в группе локальных администраторов на станции, к которой требуется подключение, что по в болшинстве случаев недопустимо и\или трудно реализуемо, в противном случае он получает отлуп в виде: "Интерактивный вход в систему на данном компьютере запрещен локальной политикой"

"Интерактивный вход в систему на данном компьютере запрещен локальной политикой"


Выход из этой ситуации - использование Restricted Groups

Месторасположение Restricted Groups - (кликните для увеличения)


Достаточно создать синоним локальной группы Administrators и добавить туда требуемую группу, к примеру MyDomain\RDP и члены группы RDP станут локальными администраторами, что позволит им входить на любую рабочую станцию не являясь Domain Admins.

 Добавление группы RDP в локальные администраторы через Restricted Groups - (кликните для увеличения)


В итоге мы получим желаемый результат, и группа SOL\RDP появится в группе Administrators на локальной машине (по такому-же принципу ест-но можно добавлять и пользователей), но я категорически не рекомендую такой способ добавления, т.к. он влечет за собой довольно неприятный момент.

А именно - на всех компьютерах, где будет применена политика с использованием Restricted Groups, локальными администраторами останутся только Администратор и добавленная нами группа SOL\RDP, все же остальные, даже если они были лок. админами, перестанут ими быть, если же этих пользователей тоже добавить таким-же способом, то тогда они ест-но станут лок. админами всех рабочих станций, что сурово.

Поэтому мы добавим в Restricted Groups нашу группу SOL\RDP, а уже её в группу Administrators

Пример правильного использования Restricted Groups - (кликните для увеличения)

Ну вот, теперь члены группы SOL\RDP являются локальными администраторами и могут администрировать через Remote Desktop даже не являясь Domain Admins, при этом ранее созданные лок. админы на рабочих станциях остаются в целости и сохранности.

Популярные сообщения из этого блога

Новый функционал конференций в Lync Server 2013: "Вопросы и ответы"

Принудительное удаление кластера (Failover Clustering)

Компьютер просыпается сразу после ухода в спящий режим