■

通過(guò)GPRG管理本地AD組

盡管AD本身具有集中管理功能，但有時(shí)我們依然需要通過(guò)本地組進(jìn)行某些授權(quán)和識(shí)別。例如我們經(jīng)常遇到，為了實(shí)現(xiàn)遠(yuǎn)程調(diào)度或調(diào)用某些應(yīng)用，需要將某個(gè)特定用戶賬戶加入到網(wǎng)絡(luò)每臺(tái)機(jī)器上的本地Administrator組當(dāng)中。有時(shí)，為了防止發(fā)生一些意外情況，例如某些擁有本地管理員權(quán)限的用戶試圖將Domain Admins組從其本地機(jī)的Administrators組剔除。凡此種種，都需要通過(guò)組策略進(jìn)行更加嚴(yán)格有效的制約和管理。

GPRG（Group Policy Restricted Groups），是 組 策略對(duì)象GPOs（Group Policy Objects ）中一項(xiàng)內(nèi)置功能，簡(jiǎn)稱 RG（Restricted Groups），它可以控制AD域內(nèi)任何機(jī)器中的本地組及域內(nèi)成員關(guān)系。需要明確的是，RG僅影響機(jī)器賬戶而非用戶賬戶，此即意味著我們調(diào)用GPOs所關(guān)聯(lián)的是含有機(jī)器賬戶的組織單元OUs（organizational units）。如果我們編輯的是默認(rèn)域GPO，那么將作用于此域內(nèi)所有機(jī)器。如果編輯的是默認(rèn)域控制器GPO，那么將作用于此域內(nèi)所有域控制器。但是，RG并不是GPO的缺省配置，為了使用它就需要有配置環(huán)節(jié)。那么如何使用RG呢？

RG在用戶組的使用方面非常豐富，比如我們將用戶加入組內(nèi)，也可將不在名單內(nèi)的用戶或組通過(guò)RG移除。另外，可以通過(guò)RG讓所有Local Administrators組 內(nèi) 的Domain Admins組保持成員關(guān)系。尤其是，RG能夠控制關(guān)鍵組成員，比如Domain Admins，Enterprise Admins以及Schema Admins組，出于安全需要，防止非法賬戶進(jìn)入這些組內(nèi)，并能夠管理文件服務(wù)器上本地組的成員關(guān)系，從AD域內(nèi)添加全局組，從而保持組成員關(guān)系的一致性。

RG還可以進(jìn)行“預(yù)配置”，例如我們可以設(shè)置一個(gè)組為“Future Local Group”，添加一個(gè)用戶名為“Future User”，可當(dāng)時(shí)并沒(méi)有這樣的組和用戶存在，看似無(wú)意義，但此后出現(xiàn)這樣的組和用戶就會(huì)自動(dòng)完成配置。在Windows Server 2012R2中生成RG的步驟如下。

圖 1 選擇“Add Group“

圖2 生成組名稱

1.在 G P O 內(nèi)，找 到 項(xiàng) 目“Computer Configuration→Policies→ Windows Settings→Security Settings”， 點(diǎn) 擊“Restricted Groups” 后再右點(diǎn)“Restricted Groups” ，選擇“Add Group”（如圖 1）。

2.手工輸入組名，該名字可以是已有的，也可以是沒(méi)有的，假如需要控制已有的AD組，那么該組必須是基于AD的組。當(dāng)我們生成好組，就會(huì)在面板上顯示出來(lái)，筆者是在成員服務(wù)器上生成的組，名為“Test Local Group”（如圖 2）。

3.將該組添加到RG列表，雙擊新添加的組就會(huì)顯示選項(xiàng)“Members of this group” （系組內(nèi)成員），此選項(xiàng)可用于控制組內(nèi)成員關(guān)系。需要明確的是，在我們配置組內(nèi)成員時(shí)，組內(nèi)現(xiàn)有的成員關(guān)系就會(huì)被覆蓋，代之以GPO指定的成員，組內(nèi)現(xiàn)有的成員馬上就會(huì)移除，因此本操作一定要有備而行。

4.然后雙擊組名，點(diǎn)擊“This group is a member of”上方的“Add”按鈕，筆者添加的用戶是位于AD內(nèi)名為“testuser1″。

5.此時(shí)我們查看目標(biāo)服務(wù)器或工作站上的相關(guān)組，該組內(nèi)往往是空的，此時(shí)只要執(zhí)行以下命令刷新GPO，就會(huì)看到組內(nèi)的新成員：

C：w i n d o w ssystem32>gpupdate /force

6.刷新GPO后，我們可以試驗(yàn)在成員服務(wù)器上從本地組移除成員后，發(fā)現(xiàn)它馬上又會(huì)添加出現(xiàn)；此時(shí)，編輯GPO并添加第二個(gè)用戶到列表，那么在刷新后就會(huì)發(fā)現(xiàn)新成員又添加到組內(nèi)，不過(guò)，組成員關(guān)系只有在用戶下次登錄后才會(huì)生效。

7.現(xiàn)在，如果將剛才添加的兩個(gè)用戶從組內(nèi)移除，并添加第三個(gè)用戶，那么就會(huì)看到第三個(gè)用戶加入到組內(nèi)，前兩個(gè)用戶確實(shí)移除了。作為技術(shù)實(shí)驗(yàn)，清空“Members of this group”列表，會(huì)看到在刷新之后組內(nèi)確實(shí)為空。需要明確的是，由GPO被刪除或修改而導(dǎo)致RG移除，那么此前通過(guò)手工方式添加的用戶需要進(jìn)行再次添加。

通過(guò)組策略管理本地AD組

在GPO中的Restricted Groups settings設(shè)置窗口有一個(gè)選項(xiàng)是“This group is a member of”，它其實(shí)是一個(gè)控件，可以將指定的組加入到其他組中。由于該選項(xiàng)僅適用于組之間，所以它并不能將單獨(dú)用戶加到組內(nèi)，如果我們需要將某個(gè)用戶加入到一個(gè)或多個(gè)組中，那么首先需要生成組，然后把用戶加到組內(nèi)，并進(jìn)行RG（Restricted Group）設(shè)置。

配 置“This group is a member of”選項(xiàng)的方式為：

（1）新建一個(gè)RG，輸入組名后雙擊之，然后點(diǎn)擊窗口內(nèi)“Members of this group”旁的“Add”按鈕，筆者將該組命名為“Add to Test Local Group”，它位于AD內(nèi)，準(zhǔn)備將其添加到本地組“Test Local Group”內(nèi)。

（2）刷新GPO后，將會(huì)看到該組添加到成員服務(wù)器上的本地組內(nèi)。

圖3 選擇“New→Local Group”

總之，該選項(xiàng)對(duì)于組關(guān)系的管理帶來(lái)了一定便利。

通過(guò)GPP管理本地AD組

GPP，即“組 策 略 預(yù) 設(shè)”（Group Policy Preferences）。通過(guò)本地組GPP設(shè)置，管理員可以集中對(duì)本地組進(jìn)行新建/刪除/重命名，同時(shí)可以改變本地組成員關(guān)系。在Windows Server 2012 R2中的GPP與RG不同之處在于，它支持將用戶和組作為成員添加，同時(shí)又不會(huì)影響當(dāng)前的組成員關(guān)系，這對(duì)于組成員關(guān)系的管理非常有利。在GPP中 使 用“Local Users and Groups”的方法如下。

第一步，在GPO中，瀏覽并擴(kuò)展項(xiàng)目：“Computer Con figuration→Preferences→Contr ol Panel Settings”，點(diǎn)擊“Local Users and Groups”后 右 擊“Local Users and Groups”，選擇“New→Local Group”（如圖 3）。

第二步，出現(xiàn)屬性對(duì)話 框“New Local Group Properties”，在 組 策 略 的Action中有4種選項(xiàng)：

（1）Create：在本地機(jī)上新建本地組，如果本地組存在則不會(huì)改動(dòng)。

（2）Replace：刪除和重建本地組，它會(huì)覆蓋本地組已有的所有設(shè)置，如果本地組不存在，則新建本地組，新組將有一個(gè)新的SID，從而防止組訪問(wèn)資源。

（3）Update：可以修改設(shè)置和重命名，它與Replace選項(xiàng)不同的是，它不會(huì)生成具有新型SID的新組，也不同于delete選項(xiàng)，如果本地組不存在，Update選項(xiàng)會(huì)新建一個(gè)本地組。

（4）Delete：將本地組從本地機(jī)移除。

第三步，這里筆者選擇Update選項(xiàng)，輸入本地組設(shè)置，此時(shí)可以采用內(nèi)置組，也可以自行輸入組名，此時(shí)我們可以對(duì)組進(jìn)行各種操作，如重命名、在組內(nèi)加減用戶、刪除所有用戶或組。點(diǎn)擊Add按鈕對(duì)特定用戶或組進(jìn)行配置，可以同時(shí)對(duì)多個(gè)用戶或組添加或刪除。當(dāng)GPO刷新后，可以看到新成員添加到組，它當(dāng)然是基于AD的組。