Restricted Group

Restricted Group nos permite administrar la membresía de los grupos. Por ejemplo podemos dese aquí agregar los grupos que queramos al grupo administradores de las computadoras clientes a las que afecten esta GPO.

Esta opción solo está disponible en el Nodo Computers, por lo que esta GPO se debe linkar a OU que contengan maquinas

Lo bueno de usar esta opción en la GPO, es que simplemente con una directiva, podemos hacer que determinados grupos, sean miembros de otros grupos, ya sea, el grupo local administradores de los clients, o de otros grupos de active directory

Dentro de las opciones de seguridad de una GPO tenemos los grupos Restristed


 

Por ejemplo supongamos que queremos que el grupo AD_Client_Deploy sea miembro de grupo Local Administradores de las computadoras clientes

  1. Sobre restricted Groups > clic derecho > add group y escribimos administrators. El cual es el grupo built-in que tienen todos los clientes Windows. Le damos OK


 

  1. Ahora ponemos que grupo AD queramos que sea miembro del grupo local “administrators” (parte de arriba). Nosotros queremos que el grupo AD_Client_Deploy sea miembro del grupo local Administradores de todos los clientes a los que afectara esta GPO.

    Si lo dejamos en blanco, el grupo Administradores local no tendría ningún miembro

     


    También podemos utilizar “This group is a member of“: Sirve para definir a que grupo local va a pertenecer el grupo de Active Directory que hemos agregado a la GPO. No podemos usar un grupo local para ser miembro de otro grupo local, ya que los grupos locales no se pueden grabar en el Active Directory.

    En este caso el grupo Enterprise admin será miembro del grupo local administradores de los equipos clientes



    Si se deja en blanco, No eliminaría los grupos que existieran en este grupo. Solo sirve para añadir

 

La principal diferencias son

Members of this group

This group is member of

  • La directiva es para un grupos locales
  • Su membresía es a grupos y usuarios
  • Es autoritaivo: borra los grupos que hubieran en el grupo Local y solo pone los que añadiesemos
  • La directiva es para un grupo del dominio
  • Su membresía es a grupos locales
  • Es acumulativo: se añade el grupo “Enterprise admin” al grupo local administradores, y NO elimina los grupos que hubiera en el administrador local

 

NOTA: Cualquier grupo que no aparezca aquí, se eliminara del grupo local de administradores de los clientes, así que debemos de tener en cuenta que se borrar los que hubiera por defecto, así que, deberíamos meter también al Domain Admins, Administrator


Vemos que tras aplicarse la GPO se ha añadido los grupos


Usos comunes de Restricted groups

Para controlar la membresía del grupo local Administrators en las computadoras clientes para incluís esta cuentas

  • Administrator (local sam account)
  • Domain admins
  • SMS u otro usuario para administración remota
  • Cualquier otro grupo que queramos que se miembro del grupo Administradores local

 

DEFINIR MEMBRESIA DE GRUPOS CON GROUP POLICY PREFERENCIAS

Podemos usar las preferencias de las GPO para crear grupos, borrar y modificar grupos y añadirles membresías de grupos

Be the first to comment

Leave a Reply