Lite då och då dyker det upp frågor om Restricted Groups och hur man kan hantera globala grupper i lokala grupper för servrar/klienter från Active Directory med Group Policy. Många som kommit en bit blir förbluffade över att lokala medlemmar försvinner ur de lokala grupperna när man använder GPO osv osv. För att bringa lite klarhet kommer här en lite guide på hur man kan knyta ihop säcken och hur det faktiskt fungerar.

Det vi vill göra är att skapa en GPO som rensar alla medlemmar ur våra servrars Administrators grupp och stoppar in våra två grupper och Administrator. Sen vill vi ha ytterligare en GPO för varje server som stoppar ner ytterligare en grupp som är administratörer på endast den servern. Vi vill göra allt detta med GPO så vi slipper att administrera det nere på servernivå. I detta exempel så har vi en domän som heter dev.local [DEV], en filserver-DEVFS01 och en printserver-DEVPF01.

Först behöver vi skapa lite OUs och lite grupper och några GPO.

Skapa en OU som heter Demo, i Demo skapar du en OU som heter Servers och en som heter AdminGroups.

─Demo

 ├───AdminGroups

 └───Servers

I Groups OUn skapar du följande grupper:

• Administrators-Servers
• Administrators-DEVFS01
• Administrators-DEVPS01

Öppna GPMC och skapa tre nya GPO

• LocalGroups-AllServers
• LocalGroups-DEVFS01
• LocalGroups-DEVPS01

Redigera Security Filtering så att LocalGroups-AllServers GPO läses av Domain Computers:

Redigera sedan så att LocalGroups-DEVFS01 endast läses av DEVFS01:

Redigera sedan så att LocalGroups-DEVPS01 endast läses av DEVPS01, precis som ovan fast den andra GPO och det andra datorkontot – dessutom får du nu klara den tunga uppgiften utan bild ;)

Öppna LocalGroups-AllServers GPO och bläddra dig ner till Computer configuration/Windows Settings/Security Settings/Restriced Groups. Höger klicka på Restriced Groups och välj Add Group. Skriv Administrators och klicka OK.

När du klickar får du upp en ruta som ovan. Lägg till Administrator, detta är endast ”god sed”, Administrator kontot är egentligen exkluderat ur detta eftersom det annars skulle vara ganska lätt att låsa ut sig själv från servern. Lägg även till de andra grupperna enligt bilden ovan. Denna GPO kommer att göra är att rensa ut alla medlemmar ur Administrators gruppen på alla servrar i vårt exempel och lägga till de vi anger här.

Öppna LocalGroups-DEVFS01 GPO och bläddra dig ner till Computer configuration/Windows Settings/Security Settings/Restriced Groups. Höger klicka på Restriced Groups och välj Add Group. Skriv DEV\Administrators-DEVFS01 (eller bläddra i domänen efter din egna grupp om din domän inte heter DEV) och klicka OK.

Lägg till Administrators under ”This group is a member of”.

Denna GPO kommer alltså att plocka Administrators-DEVFS01 från domänen och göra den till medlem i Administrators gruppen på servern.

Gör samma sak en gång till fast denna gången för DEVPS01 GPO och gruppen, precis som tidigare är det nu tunn is när det inte är några bilder att följa ;)

Länka dina tre GPO till Servers OUn.

Nu är det viktigt att LocalGroups-AllServers ligger längst ner i listan och de andra i vilken ordning som helt över - anledning är ordningen som GPO processas.

Vissa av er har säkert hört LSDOU (lsd owns you). Local, Site, Domain OU, väl nere på OU nivå så läser den nerifrån och upp, alltså ju högre link order värde desto viktigare GPO. Vår LocalGroups-AllServers ska ju först rensa, sedan lägga till sina grupper, efter det kommer varje enskild GPO och stoppar ner sin grupp.

Flyttade in mina två testservrar i Servers OU och körde en gpupdate /force

Ser fantastiskt fint ut.

Finlir och FAQ:

Kan man inte använda detta för andra grupper än för just Administrators?

- Jo det klart, bara lägg till gruppen i GPO du skapade ;)

Koolt, de funkar ju! Vad kan man göra mer då?

- Döpa om administrator (och andra) konton via GPO.

- Aktivera/inaktivera konton.

- Tilldela behörigheter (User Rights Assignment)

- Kort sagt, det du inte kan göra med GPO kan du göra med skript i GPO ;)

En viktig del som alla säkerhetsnissar alltid påpekar är att man bör använda detta för att få bättre koll på sin miljö.

NP: Takida - Halo