Делегирование полномочий локальных администраторов на определённые сервера

[STALKER_SLX]

Доброго времени суток, уважаемые форумчане!
Имею домен с множеством различных серверов по функционалу. Нужно делегировать полномочия локальных администраторов группе «adm_group1» для обслуживания только определённых серверов, например, «Server1», «Server3», «Server7».

В качестве отправной точки была использована вот эта статья:
«Добавляем доменных пользователей в локальную группу безопасности»
https://windowsnotes.ru/windows-server-2008/dobavlyaem-domennyx-polzovatelej-v-lokalnuyu-gruppu-bezopasnosti/

Реализовать свою задачу попытался через «Предпочтения групповой политики или Group Policy Preferences» с поправкой на «Security filtering».

1. Создал новую группу «adm_group1» и поместил в неё нужных пользователей, которым планирую делегировать полномочия локальных админов
2. Создал новую группу «Srv_maintenance1», куда собственно и поместил нужные сервера – «Server1», «Server3», «Server7»
3. Создал новую групповую политику для делегирования полномочий, используя метод предпочтений следуя указанной выше статье.
4. В разделе «Security filtering» созданной политики заменил «Authenticated Users» на «Domain Computers» и туда же добавил группу «Srv_maintenance1» (которая содержит собственно нужные сервера), чтобы политика применялась только на указанные сервера.
5. Прилинковал созданную политику на OU, где размещены ВСЕ сервера компании.


В итоге политика применилась на ВСЕХ серверах вместо избранных (тех, что были указаны в группе «Srv_maintenance1»).

В связи с чем, прошу Вас помочь разобраться: что же я делаю не так?
Или есть какой-то более правильный способ решения поставленной задачи?

[Уваров А.С.]

Моделирование политики делали?

[ival]

Доброго времени суток, уважаемые форумчане!
Имею домен с множеством различных серверов по функционалу. Нужно делегировать полномочия локальных администраторов группе «adm_group1» для обслуживания только определённых серверов, например, «Server1», «Server3», «Server7».

В качестве отправной точки была использована вот эта статья:
«Добавляем доменных пользователей в локальную группу безопасности»
https://windowsnotes.ru/windows-server-2008/dobavlyaem-domennyx-polzovatelej-v-lokalnuyu-gruppu-bezopasnosti/

Реализовать свою задачу попытался через «Предпочтения групповой политики или Group Policy Preferences» с поправкой на «Security filtering».

1. Создал новую группу «adm_group1» и поместил в неё нужных пользователей, которым планирую делегировать полномочия локальных админов
2. Создал новую группу «Srv_maintenance1», куда собственно и поместил нужные сервера – «Server1», «Server3», «Server7»
3. Создал новую групповую политику для делегирования полномочий, используя метод предпочтений следуя указанной выше статье.
4. В разделе «Security filtering» созданной политики заменил «Authenticated Users» на «Domain Computers» и туда же добавил группу «Srv_maintenance1» (которая содержит собственно нужные сервера), чтобы политика применялась только на указанные сервера.
5. Прилинковал созданную политику на OU, где размещены ВСЕ сервера компании.


В итоге политика применилась на ВСЕХ серверах вместо избранных (тех, что были указаны в группе «Srv_maintenance1»).

В связи с чем, прошу Вас помочь разобраться: что же я делаю не так?
Или есть какой-то более правильный способ решения поставленной задачи?

Используйте wmi фильтр. Что нибудь такое наверное

Code Select Expand

SELECT Name FROM Win32_ComputerSystem WHERE Name LIKE 'server1' or 'server3' or 'server7'
Это на вскидку, поэтому не факт что правильно. Надо проверить через PS. Ну и вообще поищите про wmi, я давно не пользовался но 100% говору что wmi-фильт поможет вам правильно применить политику.