13 April 2009

Restricted Group – Funzionalità e Applicazione

I Restricted Group permettono agli amministratori di definire e gestire i gruppi locali su server e computer del dominio.
L’esempio classico è l’introduzione di un gruppo di amministratori nel gruppo Administrators locale.

image

Il processo per l’applicazione dei Restricted Group ai vari computer avviene tramite l’applicazione delle Group Policy:

  1. Il client richiede al Domain Controller la lista delle Group Policy da applicare al computer.
  2. Il Domain Controller risponde con la lista delle Group Policy da applicare.
  3. La lista è processata e, per ogni policy nella SYSVOL, è copiato il file GptTmpl.inf nel file tmpgptfl.inf locale nella cartella C:\Windows\Security\Templates\Policies.

    image

  4. Dopo la copia, il file tmpgptfl.inf è aperto e modificato inserendo due righe (GPOPath… e DSPath…) che riportano l’informazione della policy da dove è stato copiato il file e successivamente è salvato nel formato gpt0000X.dom/inf

    image

  5. Per ogni file GptTmpl.inf nelle Group Policy troviamo un file in locale: gpt00000.dom, gpt00001.dom, gpt0000X2inf.
    Un esempio della cartella C:\Windows\Security\Templates\Policies

    image
  6. Successivamente i file sono letti e le policy applicate. Per quanto riguarda i Restricted Group è letta la configurazione sotto [Group Membership].
    Prendendo l’esempio sopra troviamo giustamente i due SID del gruppo GruppoAmmComputer e dell’utente Mbelloni
  7. Per controllare che la policy sia applicata correttamente si può analizzare il winlogon.log sotto C:\Windows\Security\Logs.
    Nel nostro esempio sono stati rimossi i gruppi e utenti presenti ed è stato aggiunto l’utente Mbelloni

    image

  8. Successivamente è stata modificata la Group Policy aggiungendo il gruppo “GruppoAmmComputer” nei Restricted Group

    image

    Questo è il log successivo all’applicazione delle GPO dopo la modifica:

    image

  9. L’evento SceCli 1704 segnala che la policy è stata applicata con successo senza errori.

    image

Maggiori informazioni sono disponibili nel seguente articolo:
MSDN - Restricted Groups

 

Matteo Belloni
Support Escalation Engineer
Microsoft Enterprise Platform Support

Filed under: , , , ,
 

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS

Comments

No Comments

Leave a Comment

Comment Policy: No HTML allowed. URIs and line breaks are converted automatically. Your e–mail address will not show up on any public page.

(required) 
(optional)
(required) 

  
Enter Code Here: Required
Page view tracker