[HellFire_MZ]

GreenIce, я немного не понимаю механизм Restricted Groups...
Сделать Администраторами еще и группу в GPO localadmins Domain Admins?

[GreenIce]

Механиз прост, всех кого вы указали в группе ограниченного доступа, пропишутся в данной группе.
Т.е. вы создаете делаете Restricted Group для группы Администраторы и прописываете в ней определенные пользователи, группы. И в итоге на компьютере к которому будет применена эта политика в групе Администраторы сотрутся все записи которые там были и пропишутся те которые вы указали в политике.

В вашей ситуации насколько я понял вы создали restict для группы Администраторы и прописали в ней только одну группу localadmin. Соответственно на компьютере test в группе Администраторы прописалась только одна группа localadmin (можете проверить, локально зайти кем нибудь и посмотреть членов группы), так как администратор домена не входит в эту группу, соответственно удаленное администрирование стало недоступным, ну и соответственно локальный пользователь Администратор и иже с ними тоже потеряли такую привелегию.

[HLT]

Цитата HellFire_MZ:

я немного не понимаю механизм Restricted Groups... »

Механизм очень простой: членами указанной группы будут ТОЛЬКО те пользователи/группы, которые Вы укажете в соответствующей политике.
Все остальные - удалятся из указанной группы.

Предвидя вопросы, скажу: через restricted groups НЕЛЬЗЯ добавить членов группы - можно только указать её полное членство.
Для добавления кого-то в имеющуюся группы - используйте net localgroup ... /add

[HellFire_MZ]

Подводя итог:
мне нужно проделать то что я описывал выше и добавить в Администраторы Domain Admins?

[GreenIce]

Нет, нужно добавить в restricted group Администраторы, группу Domain Admins и пользователя Администратор.
Итого там должно получится три записи LocalAdmin, Domain Admins и Администратор.

[HellFire_MZ]

Странно, но почему-то те пользователи домена, что были там ранее администраторами на машине(они администраторы домена), перестали быть администраторами.
Прилагаю скриншот - (может я все не так понял).
Уж простите, первый раз с этим работаю, не все понимаю.

Комментарии по скриншоту:

Test - OU.
В нем localadmins - группа, созданная мной - в ней пока только один пользователь user.(он имеет primary group: Domain Users, вторая группа Localadmins)
--------------------------------
Localadmins - член этой группы - user, а сама группа должна входить в какую то группу?

Остальное думаю понятно



Спасибо заранее

[HLT]

Цитата HellFire_MZ:

почему-то те пользователи домена, что были там ранее администраторами на машине(они администраторы домена), перестали быть администраторами »

прочитайте внимательно следующую фразу:

Цитата HLT:

членами указанной группы будут ТОЛЬКО те пользователи/группы, которые Вы укажете в соответствующей политике»

Таким образом, всё что раньше было в локальной группе "администраторы" на рабочей станции - уничтожилось и заменилось тем, что указано в политике.
Если человек является членом любой из приведенных на скриншоте групп, то он будет иметь права локального администратора.
Правда, возможно, после применения политики ему придется перелогиниться: членство в группах и соответствующие права "просчитываются" во время логона, и если он залогинился перед первым применением политики - то никаких прав у него до перелогинивания не будет.

[HellFire_MZ]

HLT, получается, на скриншоте я все сделал верно и все те, кто входит в группу Администраторы Домена будут и локальными администраторами?

[Petya V4sechkin]

Цитата HellFire_MZ:

получается, на скриншоте я все сделал верно

На скриншоте нужно в верхний список, а не в нижний.

[HLT]

Цитата Petya V4sechkin:

На скриншоте нужно в верхний список, а не в нижний »

угу. перенести из нижнего списка в верхний, при этом из нижнего списка удалить