Opiszę sposób w jaki dodać grupę (Global group) lub użytkownika do grupy lokalnej Administratorzy za pomocą Group Policy Object (GPO). Opiszę to na przykładzie systemu Windows 8 Server Developer Preview, ale sposób działa także w Windows Server 2008 i 2003.
Dodanie Global Group do lokalnej grupy Administratorzy
Kroki do wykonania:
Utworzyć na serwerze grupę, która stanie się częścią grupy Administratorzy na każdym komputerze dołączonym do domeny bądź znajdującym się w odpowiednim Organizational Unit (OU) (drugie rozwiązanie jest lepsze). W moim przypadku utworzyłem grupę ITStaff. Do grupy wrzucamy użytkowników, którzy mają mieć uprawnienia administratora na stacjach roboczych w danym OU.
Uruchamiamy Group Policy Managment. Klikamy prawym przyciskiem myszy (PPM) na OU, gdzie znajdują się komputery, do których chcemy przypisać GPO i wybieramy „Create a GPO in this domain, and Link it here…”. Wpisujemy nazwę GPO i następnie edytujemy ją za pomocą Group Policy Managment Editor (PPM na GPO i wybieramy Edit):
Wchodzimy w: Computer Configuration -> Windows Settings -> Security Settings -> PPM na Restricted Groups -> Add Group…:
Wpisujemy nazwę grupy lub wybieramy Browse… Podajemy tutaj grupę, którą utworzyliśmy (w moim przypadku ITStaff):
Po kliknięciu OK pojawi się okno właściwości:
Tutaj należy być ostrożnym, ponieważ umieszczenie elementu w „Member of this group” spowoduje wykasowanie wszystkich użytkowników/grup z grupy ITStaff i zastąpienie ich wymienionymi w tym polu. Ponieważ nie tego chcemy, należy kliknąć przycisk Add… w sekcji „This group is a member of:”.
W polu, które się pojawi wpisujemy Administratorzy i klikamy OK i OK. Dzięki temu grupa ITStaff zostanie dodana do lokalnych grup Administratorzy we wszystkich komputerach znajdujących się w linkowanym OU. Potarzam – tym sposobem nasza gupa zostanie dodana – istniejący członkowie grup Administratorzy nie zostaną zastąpieni.