При управлении правами доступа рекомендуется объединять пользователей в группы и назначать разрешения на групповом уровне, а не на уровне отдельных учетных записей. Ниже рассказывается о том, как это сделать.
Больше всего меня раздражает бессмысленное нагромождение учетных записей в списках локальных групп на сервере. В определенных ситуациях членство в локальных группах удаленных пользователей, привилегированных пользователей и администраторов на сервере может быть ограничено. Сам факт присвоения определенных прав меня не напрягает — у всех свои задачи. Другое дело, как эти задачи выполняются.
Управлять членством в административных группах в Windows можно с помощью сценариев. Первый вариант — для любителей старой доброй команды net:
net localgroup Administrators /Add RWVDEV\SelectAdmins
В этом примере в локальную группу Administrators добавляется доменная группа RWVDEV\SelectAdmins. Тех же результатов можно добиться и с помощью PowerShell, а также добавить возможность выполнения данной операции на удаленном компьютере:
$computerName = 'baselinews2k3-2.rwvdev.intra' $userName = 'SelectAdmins' $localGroupName = 'Administrators' $domainName = 'RWVDEV' if ($computerName -eq "") {$computerName = "$env:computername"} [string]$domainName = ([ADSI]'').name ([ADSI]"WinNT://$computerName/$localGroupName,group").Add("WinNT://RWVDEV/$userName") Write-Host "User $domainName\$userName is now member of local group $localGroupName on $computerName."
Примечание: этот сценарий PowerShell был создан на основе рекомендаций с сайта PowerShell.com.
Данный сценарий выполняет ту же самую задачу и может использоваться на удаленном компьютере (в примере — на сервере baselinews2k3-2). Кроме того, в качестве переменной $userName может использоваться как имя отдельного пользователя, так и имя группы.
Кроме того, управлять членством в закрытых группах можно с помощью групповой политики (Group Policy) и применять заданные параметры на компьютерах в домене с использованием объектов групповой политики (Group Policy Objects, GPO). Тем не менее, бывают ситуации, в которых одними GPO не обойтись и приходится работать с каждой системой по отдельности.
