Ad ogni amministratore di rete capita o è capitato di dover gestire in modo centralizzato gruppi utenti locali (local group) su computer o server Windows membri del dominio Active Directory.
Per questo genere di problematiche ci vengono fortunatamente in aiuto le Group Policy (GPO) e saperle utilizzare è un must per ogni amministratore IT. Vediamo di seguito come affrontare al meglio questo caso specifico.
Prerequisiti:
- Aver installato la Group Policy Management Console sul domain controller Active Directory
- Aver creato, sempre in Active Directory, un gruppo di utenti in Active Directory (il nome potete darlo voi. Per semplicità l’ho chiamato “Gruppo Admin Workstation” come in fig.1).
Fig.1: Gruppo di utenti creato in Active Directory.
Modificare i membri di un Local Group conservando quelli esistenti
Esempio: devo aggiungere al gruppo locale “Administrators” i membri del gruppo AD “Gruppo Admin Workstation” preservando quelli già contenuti al suo interno.
All’interno della GPMC creo una GPO (volendo posso anche modificarne una esistente). La voce che mi interessa si trova qui (vedi fig.2): Computer Configuration > Windows Settings > Security Setting > Restricted Groups
Dovremo aggiungere il gruppo creato in precedenza con opzione Add Group (vedi fig.2).
Fig.2: Aggiunta di un gruppo nei Restricted Groups tramite GPO.
e specificare che This Group is a member of (questo gruppo è membro di). Attenzione a non sbagliare. Questo passaggio è molto importante (vedi fig.3).
Fig.3: … questo gruppo fa parte di ,,,
La GPO appena creata andrà collegata all’unità organizzativa che racchiude i computer a cui effettuare la modifica. Consiglio di provarla prima su una OU che racchiuda solo qualche computer di test e, se l’esito è positivo, metterla in produzione.
Modificare i membri di un Local Group eliminando quelli esistenti
Esempio: il gruppo locale “Administrators” contiene solo membri da me specificati tramite GPO.
I passaggi da compiere sono simili a quelli descritti sopra. La voce che interessa è la stessa: Computer Configuration > Windows Settings > Security Setting > Restricted Groups
In questo caso però il gruppo da aggiungere è quello locale del pc (nel mio caso quello “administrators” come in fig.4).
Fig.4: Aggiunta ai Restricted Groups del gruppo locale Administrators.
Questa volta però andremo a forzare i membri di questo gruppo Members of this group (vedi fig. 5)
Fig.5: membri del gruppo selezionato
Anche in questo caso la GPO andrà collegata all’unità organizzativa che racchiude i computer interessati dalla modifica.