مدیریت گروه های local با استفاده از Group Policy – بخش دوم – members of this group

برای ایجاد Restricted Group  می بایست یک GPO را ایجاد و یا ویرایش کنید. توجه داشته باشید که این GPO باید به OU ای اعمال شود که در آن  computer account کلاینت های مورد نظر شما قرار داشته باشد.

• در کنسول ویرایش GPO، از مسیر زیر، Restricted Group را پیدا کنید:

Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Restricted Groups

سپس روی Restricted Groups و یا در فضای خالی سمت راست، راست کلیک کرده و Add Group را انتخاب کنید.

• در قسمت Group، نام گروه مورد نظر خود را وارد کنید. این نام می تواند نام گروه موجود در دامین بوده و یا گروهی که هنوز ایجاد نشده است، باشد. اگر می خواهید، تنظیمات شما روی گروهی که از قبل در Active Directory موجود است اعمال گردد، از گزینه Browse  استفاده کرده و آن گروه را بیابید. ایجاد یا انتخاب یکباره گروه، آن را به لیست سمت راست اضافه می کند. در این سناریو، ما از گروهی با نام Administrators استفاده می کنیم (دقت کنید که این گروه در سرور موجود بوده و ما از طریق Browse آن را اضافه کرده ایم)

• با OK کردن، گروه مورد نظر (Administrators) به لیست Restricted Groups اضافه شده و بصورت خودکار، صفحه ویرایش آن باز خواهد شد. در این صفحه، دو قسمت وجود دارد (همانند شکل زیر). بخش Members of this group به شما این امکان را می دهد که عضویت این گروه را کنترل کرده و اعضای مورد نظر خود را به آن اضافه یا حذف کنید.

توجه داشته باشید که تا اینجای سناریو، کامپیوترهایی که این GPO به آنها اعمال می شود، گروه Administrators را در لیست گروه های خود (در قسمت  Local Users and Groups) دارند و ما با این کار فقط اعضای آن را تغییر می دهیم.

توجه! هنگامی که اعضای گروه را در از قسمت Members of this group تغییر می دهید، این اعضا، جایگزین اعضای موجود در گروه می شوند. بنابراین تمامی اعضایی که در گروه هستند حذف شده و اگر عضوی نیز تاکنون در گروه نبوده است، اضافه می شود. به همین دلیل، این قسمت مهم بوده و توصیه می شود قبل از هر اقدامی، بخش مربوط به مفاهیم Restricted Group را به خوبی مطالعه کنید.

• حال در قسمت Members of this group، با زدن گزینه Add، کاربر یا گروهی را که می خواهید، در کامپیوترهای تحت تاثیر این GPO، عضو گروه Administrators شوند، انتخاب نمایید. در اینجا ما کاربری با نام User1 را اضافه می کنیم.

• حال برای اینکه هر چه سریعتر، تغییرات اعمال شوند، Run را اجرا کرده و دستور gpupdate /force را وارد کرده و OK کنید. این دستور باعث می شود تا Group Policy، در همان لحظه تمامی policy های خود را آپدیت کرده و به کلاینت ها اعمال کند.

دقت کنید که در صورت اجرای درست، پیغام زیر بصورت چند ثانیه ظاهر خواهد شد.

برای اینکه مطمئن شوید، policy شما به کلاینت ها اعمال شده است یا خیر، به یکی از کلاینت هایی که در این OU قرار دارد لاگین کنید. روی My Computer راست کلیک کرده و Manage را انتخاب کنید. از منوی سمت چپ، به Local Users and Groups بروید. در اینجا لیست تمامی گروه ها و کاربران local این کامپیوتر را مشاهده می کنید. روی گروه Administrators دابل کلیک کرده تا کاربری که به عضویت این گروه در آمده است را مشاهده کنید.

نکته: اگر بلافاصله پس از اعمال policy به کلاینت مراجعه کنید، ممکن است تغییری در آنها مشاهده نکنید. برای دریافت سریع policy ها توسط کلاینت، می توانید از همان دستور gpupdate /force نیز، روی کلاینت ها استفاده نمایید. به خاطر داشته باشید، اگر policy به کاربران اعمال شده باشد، بایستی لاگ آف و لاگین شوید تا تغییرات را مشاهده نمایید، اما اگر روی کامپیوتر ها اعمال گردد، کامپیوتر می بایست ریست شود.

تا وقتی که این policy به کامپیوتر اعمال شده باشد، حتی در صورت حذف کاربر از عضویت گروه، پس از چند دقیقه دوباره اضافه خواهد شد.

هر تعداد کاربر یا گروه را که می خواهید می توانید به این روش اضافه کنید. برای تست سناریو، ما کاربر دیگری با نام User2 را نیز از همان طریق (به ترتیب شکل های زیر) اضافه می کنیم. (دقت کنید که تمامی مراحل را همانند اضافه کردن User1 جلو ببرید)

• اضافه کردن کاربر User2 به Restricted Group

• اضافه شدن به لیست گروه Administrators در کلاینت

همانطور که قبلا گفته شد، با این روش شما می توانید کاربران عضو یک گروه را نیز حذف کنید. تا اینجا ما دو کاربر با نام های User1 و User2 را به عضویت گروه Administrators در برخی از کلاینت ها درآوردیم. حال می خواهیم تمامی کاربران این گروه را این روش حذف کنیم. برای اینکار، به همان GPO رفته و تمامی کاربران عضو این گروه را حذف نمایید. اینکار به راحتی با انتخاب کاربر و زدن کلید remove انجام می پذیرد.

حال دوباره همان دستور gpupdate /force را اجرا کرده و به کامپیوتر کلاینت بروید. با مشاهده اعضای گروه Administrators، میبینید که تمامی کاربران حذف شده اند. دقت کنید که کاربر Administrator با این روش حذف نمی شود.