Группы с ограниченным доступом - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)

- - Группы с ограниченным доступом (http://forum.oszone.net/showthread.php?t=270399)

Группы с ограниченным доступом

Доброго времени суток.

Создал ou, поместил станции в него, создал объект gpo, restricted group "Adm" поместил в группу builtin\Администраторы, добавил в группу Adm пару пользователей, все прекрасно работает, в локальной группе Администраторы появилась группа Adm, пользователи получили требуемые права. Удалил одного пользователя, но права у него остались, 2 gpupdate, 2 ребута - не помогло, добавил 3го пользователя в группу Adm - он на ходу получил администраторские права, без gpupdate. Т.е. при добавлении пользователей права добавляются адекватно, при удалении оных, права не удаляются. Делать наоборот (группу builtin\Администраторы делать членом группы Adm) не хочется, т.к. в группе локальных администраторов есть другие группы и локальные пользователи машин. Кто-то сталкивался с подобным?

update: удалил restricted group из политики, удалил группу из локальных администраторов на тестовой машине, сделал через GPP "локальные группы" то же самое (поместил Adm в builtin\Администраторы) - ничего не изменилось пользователь2, которого уже нет в группе Adm все равно имеет права администратора, даже get-adgroupmember говорит что его в группе нет.

update2: было 2 объекта gpo, 2 ou, для каждого ou соответственно свой объект, после полного удаления объекта и создания нового, на машине в 1м ou у пользователя, который уже не в группе права наконец-то пропали, для 2го ou даже удаление объекта gpo не помогло, бред какой-то, при чем не важно было реализовано именно через restricted groups или через GPP. И еще вопрос: после удаления объектов или отвязки их от ou, как убрать доменные группы из локальной группы администраторов кроме ручного способа?

Restricted Groups должны чётко фиксировать членство. Когда кого-то из политики убираете, после gpupdate на рабочей станции он должен из группы пропадать.

У меня есть два варианта:
1. Неточно сделана сама политика. Покажите скриншоты.
2. На клиенте политика перестала нормально применяться. Читаем журналы клиента.

скриншоты прилагаю.
в rsop указано что есть gpo имеющие более высокий приоритет, и политика не пыталась настроить параметр, но выше только дефолтная политика, которую я не правил и в которой нет ничего о restricted groups, приложу часть winlogon.log, НО если бы политика действительно не работала, то созданной мной группы вообще бы не было в локальных администраторах, к тому же проблема только при удалении пользователя из группы, при добавлении в группу он получает права даже без gpupdate, вот в деталях:

В случае с restricted groups: после создания объекта gpo и gpupdate на машине все работало нормально, добавил пользователя в группу "Adm" (которая в свою очередь является членом builtin\Администраторы), и даже без gpupdate 2й пользователь получил права администратора, т.е. клиентская ось нормально определила что он в группе "Adm". Тут же удаляю пользователя из группы, но права остаются. Делаю gpupdate + restart guest, права все равно остаются, хотя он уже не в группе Adm, и соответственно не в группе builtin\Администраторы. После удаления объекта gpo да, группа Adm удалилась из локальной группы администраторов.

В случае с GPP: после создания объекта gpo и gpupdate на машине все работало нормально, добавил пользователя в группу "Adm", пользователь не получил права даже после gpupdate + restart guest, отключил привязку объекта gpo к ou, gpupdate, снова включил привязку, gpupdate+restart guest - нет эффекта, пользователь все равно не получил прав.

winlogon.log:

Политика Restricted Groups отрабатывает корректно.
Некто должен стать членом группы Administrators > в политике вы говорите "Некто является членом Administrators", так оно и происходит.
Когда вы его убираете из политики, становится "про Некто ничего не сказано". То есть, ничего не меняется.
Вариант номер 1 доказан. Как вы задаёте, так оно и работает.

Не понятна логика того что вы написали, я не убираю пользователя из политики, я удаляю его из группы, которая указана в политике.
Группа Adm входит в группу локальных Администраторов. Добавил пользователя в группу Adm - он имеет права администратора, удалил - не имеет, разве это не логично? Но работает только в сторону добавления, если удалить, права все равно остаются, может я не понимаю какого-то глубокого механизма работы restricted groups? Потому что саму политику я не правлю, меняется только членство в группе.