GPO. Группы с ограниченным доступом.
 

Вопрос есть, прошу прощения, если баян, поискал, не нашел.

Применяю групповую политику "Группы с ограниченным доступом". Убирает локальных администраторов.
В связи с чем вопрос. Воможно ли туда прописать локальных администраторов, на определенных машинах.
Ну т.е.
Машина 1 - на ней локальный администратор - 1.
Машина 2 - на ней локальный администратор - 2.
А то если прописать пользователя в "Члены этой группы" - он становится локальным админом на всех машинах к кому применяеться групповая политика.

Спасибо.

Таких машин много?
Если немного - то на всех политику, на эти машины - исключение применения политики, и локальных админов руками прописывать.
Если на каждой из 200-500 машин человек, работающий за этим компом, должен быть локальным администратором - ПРОЩЕ ПОВЕСИТЬСЯ =)

Всего машин тысячи полторы. Из них на 200 - 300 нужны будут локальные админы, притом на каждой - свой.
НУ в общем. Как я понимаю. неисполнимо оно?

Исполнимо. Только придется немного позаниматься киберсексом =)

Делаем отдельную группу, в неё все компы, на которых нужны локальные админы
Делаем для всех политику с restricted groups, на неё запрет применения для созданной выше группы

И запускаем со станции администратора небольшой батничек (время - текущее +5мин):
Понятно, что заранее надо выяснить кто на каких машинах будет админом и подготовить батник.
Ну или руками =)

Ага.. Покатит. Так хотелось избежать добавления руками админов, но видать, нереально оно. 8-)

Спасибо большое.

restricted groups всем,
локальных админов этой же политикой переименовать, например, в localadmin,
в логон скрипт компьютера поставить команду net user localadmin password Parol_@dmina

И нужных юзеров научить запускать админские вещи через runas

Для обычной работы с повышенными привилегиями достаточно членства в Power Users.
Поэтому сделать отдельную политику, которая засунет группу Domain Users в локальную Power Users - и применить её только на нужные компы.
Геморроя значительно меньше =)

Может я что-то не понимаю, а что мешает сделать политику "Группы с ограниченным доступом", вписать туда юзеров из АД, кого надо сделать админами и применить к Юниту "Локальные админы"
СОбственно, как только АлехаАдм входит, на него дейтсвует эта политика, которая делает его админом на любом из компов.
Примерно таким образом можно сделать две политики для АлехаАдм и Саша Адм, которая одного делает Локальным админом на одном компе, а другого на другом...

В том то и дело, что автору вопроса надо сделать не на любом из компов - а на некоторых, и причем каждом компе разных людей

Давайте все-таки читать всю тему, а не 1.5 последних поста!

"Группы с ограниченным доступом" применяются для компьютеров. Вообще не вижу проблемы создания двух политик для двух админов с применением на конкретные компы!!!!!