Права локального администратора

Содержание

Allow a user to be a local administrator on a specific computer

  • 2 minutes to read

Updated: August 21, 2008

Applies To: Windows SBS 2008

A user can log on to any client computer in the Windows SBS 2008 network by using an account that is based on a Standard User role.

Allow a user to be a local administrator on a specific computer

However, to allow a user to become a local administrator on a specific client computer, complete the following procedure.

Note

You must be a network administrator to complete this procedure.

To allow a user to be a local administrator on a specific computer on the network

  1. Open the Windows SBS Console.

  2. On the navigation bar, click the Network tab, and then click Computers.

  3. Click the computer that you want to allow the user account to access, and then click View computer properties.

  4. On the Computer properties page, click User Access.

  5. Click each user account that you want to allow to access this computer. Then to enable remote access to this computer, click Can log on remotely to this computer.

  6. To grant local administrator rights to the selected computer for this user account, in the Access Level sectiion, select Local Administrator.

  7. Click Apply, and then click OK.

Как дать пользователям домена права локального администратора через групповые политики (GPO)

Вы, вероятно, уже знаете, как на дать права локального администратора доменным пользователям на отдельном компьютере (просто добавьте доменные учетки в группу локальных администраторов).
А когда таких компьютеров 10? 100? 1000? Как добавить доменных юзеров в локальную группу (администраторов) через групповую политику?

А когда у Вас разные версии Windows? Разные языки: английская, русская, украинская, испанская версия windows? В этом случае главное — добавлять доменных пользователей в локальные группы, используя SID локальных групп, а не их имена. О том, что такое SID, зачем он здесь нужен и главное — как указать SID группы там, где можно вписать только имя — читайте в этой статье.

Настройка прав через GPO: Restricted Groups

  1. Подключитесь к контроллеру домена.
  2. Создайте новую групповую политику (например, с помощью gpmc.msc => Group Policy Objects => New).
  3. Откройте созданную групповую политику на редактирование.
  4. Выберите пункт "Computer Configuration" => "Policies" => "Windows Settings" => "Security Settings" => "Restricted Groups".
  5. Нажмите правой кнопкой мыши на "Restricted Groups" и выберите "Add Group…"
  6. Выполните один из 2 вариантов (обратите внимание — важно сделать правильный выбор, почему — см. ниже):
    1. Впишите имя группы доменных юзеров (это может быть имя пользователя, но обычно это все-таки группа).
    2. Нажмите "Browse…" и выберите группу пользователей домена.
  7. После добавления группы пользователей домена откроются свойства добавленной Вами группы (Вы также можете открыть свойства самостоятельно двойным щелчком мыши на добавленной группе).
  8. В окне свойств добавленной группы Вы можете задать членов этой доменной группы, либо (что используется намного чаще) указать, в какие локальные группы на компьютере должна входить данная группа доменных пользователей.
  9. Для указания того, в какие локальные группы компьютеров должна входить добавленная группа пользователей домена, в части окна "This group is a member of" нажмите кнопку "Add…" и выполните один из двух вариантов (обратите внимание — важно сделать правильный выбор, почему — см.

    ниже):

    1. Впишите имя локальной группы, в которую должна входить добавленная Вами группа доменных пользователей.
    2. Нажмите "Browse…" и выберите группу пользователей (да, локальную группу из AD).
  10. Обратите внимание, что Вы можете указать несколько локальных групп, членом которых Вы хотите сделать доменную группу. Для этого каждый раз необходимо нажимать кнопку "Add.." (и выполнять пункт 9).
  11. После внесения всех необходимых доменнных (и локальных) групп закройте групповую политику и назначьте (link) её к нужной Вам организационной единице (Organizational Unit).
  12. Переместите в эту организационную единицу компьютеры, при необходимости сделайте на компьютерах принудительное обновление групповой политики:
  13. Для того, чтобы узнать, применилась ли (и каким образом применилась) созданная Вами групповая политика, Вы можете посмотреть в логи на клиентских компьютерах:
    %SYSTEMROOT%\Security\Logs\winlogon.log
    %SYSTEMROOT%\Debug\UserMode\Userenv.log
    А также в журнал событий Event Viewer (eventvwr) в разделе "Applications and Services Logs" => "Microsoft" => "Windows" => "Applications and Services Logs" => "Group Policy" => "Operational".

Новая группа доменных пользователей в Restricted Groups (пункт 6): ввод имени группы или выбор через поиск?

При добавлении новой группы доменных пользователей в "Restricted Groups" в Windows работают 2 разных механизма: ввод имени группы вручную или выбор ее из имеющегося списка доменных групп. Если совсем кратко, то при вводе имени группы вручную в конфигурацию групповой политики попадет (как правило) имя группы, а при выборе из списка доменных групп (через поиск в AD) — будет использован SID.

Дело в том, что при указании названия группы вручную windows не всегда проверяет это название на валидность и не всегда пытается сопоставить этой группе реально существующую группу доменных пользователей — SID.

Что такое SID?
У каждой группы (и пользователя) как доменных, так и локальных, есть уникальный идентификатор — SID (иначе мы не смогли бы переименовывать группы, при этом терялись бы все права на папки, принадлежащие этой группе).

Как в ОС Windows 7 получить права локального администратора

Так вот, при сопоставлении имён Windows понимает, что эта группа — не "Друзья Васи", а SID S-123-456-7890-49439535. И даже переименовав группу, мы не потеряем групповых политик, связанных с ней.

Если же название группы введено вручную, то скорее всего, Windows запишет группу по её названию. И если мы (например) дали группе "Друзья Васи" админские права на всех компьютерах, мы потеряем эти права, если переименуем группу, например в "Лучшие друзья Васи". Более того: поскольку сопоставление будет выполняться по имени группы, то переименовав группу "Друзья Васи" в "Лучшие друзья Васи", и создав (новую, никак с предыдущей группой не связанную) группу "Друзья Васи" (может, уже другого Васи) — мы дадим этим новым друзьям нового Васи админские права на компах!

И самое обидное: обратите внимание, что через интерфейс редактирования групповых политик мы (скорее всего) никак не сможем установить, введено ли название группы вручную или выбрано из имеющихся групп (и вместо имени там фактически используется SID).

Вывод: всегда добавляйте группы, делая выбор из имеющихся доменных групп (через поиск в AD), чтобы использовался SID группы.

Добавление доменной группы в локальные группы пользователей (пункт 9):
ввод имён групп вручную или выбор через поиск в AD?

При указании того, членом каких локальных групп компьютера должна быть нужная Вам доменная группа обратите внимание: в Windows работают 2 разных механизма: ввод имён групп вручную или выбор их из имеющегося списка. Если совсем кратко, то при вводе имени группы вручную в конфигурацию групповой политики попадет (как правило) имя группы, а при выборе из списка доменных групп (через поиск в AD) — будет использован SID. О том, почему это так важно — читайте ниже.

С SID мы разберемся чуть позже, но еще вопрос в том, как выбрать локальную группу там, где отображается только Active Directory (AD). Об этом также читайте далее.

Обратите внимание, что через интерфейс редактирования групповых политик мы (скорее всего) никак не сможем установить, введено ли название группы вручную — или выбрано из имеющихся групп (и вместо имени там фактически используется SID).

Настройка Restricted Groups для предоставления доменным пользователям прав локального администратора: как указывать локальные группы пользователей

Рассмотрим, в чем у нас состоит задача: добавить доменного пользователя (а правильнее — группу доменных пользователей, даже если в этой группе только 1 пользователь) в локальные администраторы на всех компьютерах (можно — домена, можно — организационной единицы).

Механизм добавления ясен: берем имеющуюся доменную группу (например domain\IT) и нам необходимо её добавить в локальные администраторы. Казалось бы, всё просто? Ан нет…

Добавление группы доменных пользователей в группу локальных администраторов на АНГЛОязычной версии Windows

Для этого добавляем в Restricted Groups новую группу: domain\IT, а в её свойствах, в разделе "This group is a member of" вписываем группу "Administrators". Всё просто, но в русскоязычных версиях Windows это не работает: группа IT не становится администраторами компьютеров, а в логах русской винды — ошибки применения нашей групповой политики.

Добавление группы доменных пользователей в группу локальных администраторов на РУССКОязычной версии Windows

Для этого добавляем в Restricted Groups новую группу: domain\IT, а в её свойствах, в разделе "This group is a member of" вписываем группу "Администраторы".

Всё просто, но в англоязычных версиях Windows это не работает: группа IT не становится администраторами компьютеров, а в логах английской винды — ошибки применения нашей групповой политики.

Добавление группы доменных пользователей в группу локальных администраторов на АНГЛОязычной и РУССКОязычной версии Windows

Для этого добавляем в Restricted Groups новую группу: domain\IT, а в её свойствах, в разделе "This group is a member of" вписываем группу "Администраторы", а также группу "Administrators". Всё просто, группа IT становится администраторами русской и английской версий Windows, но в логах на всех windows — ошибки применения нашей групповой политики (потому что где-то нет группы "Администраторы", а где-то — "Administrators").

А что, если (вдруг) у Вас украинская версия Windows? Испанская версия Windows? А если администраторы переименовали на компьютере группу локальных администраторов, назвав ее например. "Админы"?

Права локального администратора группе доменных пользователей в любой версии Windows (для любого языка): используем SID для локальных групп

Способ очень простой: для локальных групп, членом которых будет наша доменная группа, необходимо указывать SID. Разумеется, Вы не можете указать SID напрямую (это будет воспринято как имя группы), но есть целых 2 способа заставить Windows подставить SID вместо имен локальных групп.

Прежде всего: почему SID? Это будет работать?
Да! Потому что независимо от версии, разрядности, языка(!) и других параметров Windows, у стандартных групп (таких как "Пользователи" — "Users", "Администраторы" — "Administrators" и так далее) есть заранее зарезервированные (так сказать "широко известные идентификаторы безопасности SID" — "well-known SIDs"). Для группы локальных администраторов SID всегда один и тот же, независимо от языка: S-1-5-32-544.

Способ 1.

Выбор локальных групп из AD

Итак, Вы уже добавили в Restricted Groups доменную группу, открыли её свойства, нажали кнопку "Add.." и думаете, как вписать название группы локальных администраторов, чтобы Windows подставила её SID? Всё просто: нажимаете "Browse…" и ищете (в зависимости от языка Вашей AD — именно самой AD!) либо "Administrators", либо "Администраторы" (либо другое название — зависит от языка самой AD!). Эта группа располагается в AD в разделе (это не совсем OU, хотя выглядит так же) под названием "Builtin". При поиске можно также открыть настройки поиска: "Object types…" и оставить отмеченным только пункт "Built-in security principials".

Если Вы выберете локальную группу таким образом (т.е. через поиск в домене, раздел builtin), то хотя после поиска будет отображено только название группы ("Administrators", "Администраторы", …), в Windows будет записан SID группы локальных администраторов, независимо от текстового названия группы локальных админов!

Способ 2. Правка конфига групповой политики

Итак, Вы уже добавили в Restricted Groups доменную группу, открыли её свойства, нажали кнопку "Add.." и думаете, как вписать название группы локальных администраторов, чтобы Windows подставила её SID? Всё просто:

  1. Впишите любое уникальное название: например "testtesttest".
  2. Теперь откройте свойства групповой политики (правой кнопкой по имени политики) и скопируйте/запишите/запомните ее "Unique name" (т.е. GUID).
  3. Не забудьте закрыть групповую политику!
  4. Откройте папку групповой политики.
    Для этого откройте шару:
    \\domain.local\sysvol\Policies\<unique name групповой политики>
  5. Перейдите в папку:
    Machine\Microsoft\Windows NT\SecEdit
  6. Откройте файл:
    GptTmpl.inf
  7. В разделе [Group Membership]
    В одной из строчек Вы увидите Ваше уникальное название, перед которым стоит какой-то длинный текст из букв и цифр:
    *S-1-5-21-488169584-1945689841-2750668826-1126__Memberof = testtesttest
  8. Удалите Ваше уникальное название и впишите SID группы локальных администраторов. Звездочка (программисты на С/С++ знают, что это вызов значения по указателю) указывает, что нужно использовать не само название, а содержимое того, что стоит за этим названием, так что пишем:
    *S-1-5-21-488169584-1945689841-2750668826-1126__Memberof = *S-1-5-32-544
    Итак, алгоритм действий:
    1. Находите в файле GptTmpl.inf строку с уникальным текстом, который Вы вписали в качестве имени локальной группы
    2. Удаляете в этой строке всё СПРАВА от знака "=" (т.е. Ваш текст)
    3. Вписываете СПРАВА от знака "=" (не забудьте после "=" поставить пробел!):
      … = *S-1-5-32-544
    4. Сохраняете файл GptTmpl.inf
  9. Всё.

Обязательно проверьте, как работает эта схема, применив групповую политику к одному или нескольким компьютерам, и проанализировав результат! Ищите добавленную Вами группу доменных пользователей не только в панели управления => учетные записи пользователей, но и в управлении компьютером, просмотрев членов локальной группы администраторов!

 

При подготовке статьи использовались следующие материалы:

  1. Well-known security identifiers in Windows operating systems
  2. restricted groups и event id 1202
  3. How to Make a Domain User the Local Administrator for all PCs
  4. How to configure Restricted Groups the right way with different client computer languages
  5. Working with Group Policy Restricted Groups policies
  6. Добавляем доменных пользователей в локальную группу безопасности
  7. Работа с предпочтениями групповой политики: взаимодействие с локальными учетными записями

Статья опубликована: 26.07.2017, обновлена: 16.08.2017

Группы пользователей Windows и их права

Мы уже обсуждали возможности Windows по настройке прав доступа пользователей к определенным объектам. Данными объектами выступали папки или файлы. Соответственно, мы могли дать некоторым пользователям доступ к выбранным объектам, а некоторым запретить. Права доступа к файлам это одно, а вот как настроить права доступа к определенным компонентам и возможностям операционной системы Windows? Как одному пользователю разрешить пользоваться удаленным рабочим столом, а второму запретить изменять настройки сети или времени? Тут уже обычными правами доступа NTFS не обойтись.

Для решения данной проблемы в Windows есть специальные группы пользователей с определенными правами доступа. Самые известные и наиболее используемые группы пользователей Windows — это группы Администраторы, Пользователи и Гости. Права пользователей входящих в данные группы приблизительно понятны, но сегодня я познакомлю Вас с ними поближе.

Предоставление прав локального администратора на машинах домена пользователю

Кроме этого не стоит забывать, что количество групп пользователей колеблется от 10 до 20-25, поэтому Вам будет интересно узнать про основные из них.

Как изменить права доступа пользователя?

В Windows имеется два инструмента, которые позволяют манипулировать содержимым групп пользователей операционной системы Windows. Другими словами, добавить пользователя в определенную группу или, наоборот, выкинуть его оттуда под силу сразу двум инструментам Windows:

  1. Консоль Управление компьютером.
  2. Редактор локальной групповой политики.

Рассмотрим оба варианта.

Настройка групп пользователей Windows через консоль Управление компьютером

Как добавить пользователя в группу пользователей Windows:

  1. Выполните клик правой кнопкой компьютерной мышки по пункту Мой компьютер.
  2. В контекстном меню выберите пункт Управление.
  3. В открывшемся окне раскройте узел Локальные пользователи и группы.
  4. Выберите узел Группы.
  5. В центральном окне выберите необходимую группу и откройте ее.
  6. В открывшемся окне выберите пункт Добавить.
  7. В следующем окне введите имя пользователя Windows, которого Вы хотите добавить в данную группу. При необходимости воспользуйтесь кнопкой Проверить имена.
  8. После выбора пользователя или сразу нескольких пользователей, жмите кнопку ОК.

Как удалить пользователя из группы:

  1. Проделайте первые 5 пунктов описанные выше.
  2. В открывшемся окне выберите нужного пользователя и нажмите кнопку Удалить.
  3. Нажмите ОК.

Работа с группами пользователей Windows в Редакторе локальной групповой политики

Как добавить/удалить пользователя в/из группу/группы пользователей WIndows:

  1. Через меню Выполнить откройте Редактор локальной групповой политики. Вызываемый файл носит имя gpedit.msc.
  2. Перейдите в узел Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Назначение прав пользователей.
  3. Выберите необходимую политику(каждая политика подразумевает в себе определенные права доступа).
  4. Далее необходимо действовать по аналогии — для добавления пользователя проделайте пункты 6-8, а для удаления 2-3 из соответствующих пунктов настройки через консоль Управление компьютером.

Разница политик от консоли Управление компьютера в том, что они позволяют настроить права доступа по винтикам. Если группы пользователей Windows в Управлении компьютером имеют довольно обширные права и запреты, то политики позволяют настроить права пользователей Windows до такой мелочи, как возможность изменения времени или часового пояса.

Группы пользователей в Windows и их права доступа

А вот и долгожданный список основных групп пользователей Windows:

  • Администраторы. Неограниченный доступ.
  • Операторы архива. Члены данной группы имеют права создания резервной копии даже тех объектов, к которым не имеют доступа.
  • Опытные пользователи. Толку от них немного, так как группа включена только для совместимости с предыдущими версиями
  • Пользователи системного монитора. Есть чудесная вещь под названием Системный монитор(perfmon.msc), с помощью которого можно отследить использование различных ресурсов компьютером. А группа дает доступ к данному инструменту.
  • Операторы настройки сети. Члены группы могут изменять параметры TCP/IP.
  • Пользователи удаленного рабочего стола. Пользователи этой группы смогут входить в систему через удаленный рабочий стол.
  • Пользователи журналов производительности. 4-ая группа дает только поверхностный доступ к Системному монитору. Данная группа дает более полные права.
  • Пользователи DCOM. Пользователи группы могут манипулировать объектами распределенной модели DCOM.
  • Криптографические операторы. Члены данной группы могут выполнять криптографические операции.
  • Читатели журнала событий. Думаю объяснять нету смысла, все предельно ясно.

Данный список может быть намного шире. Тут приведены только основные группы пользователей Windows, которые встречаются практически на всех машинах под управлением операционной системы от Microsoft.

.

Добавить комментарий

Закрыть меню