Restricted Group – Funzionalità e Applicazione


I Restricted Group permettono agli amministratori di definire e gestire i gruppi locali su server e computer del dominio.
L’esempio classico è l’introduzione di un gruppo di amministratori nel gruppo Administrators locale.

image

Il processo per l’applicazione dei Restricted Group ai vari computer avviene tramite l’applicazione delle Group Policy:

  1. Il client richiede al Domain Controller la lista delle Group Policy da applicare al computer.
  2. Il Domain Controller risponde con la lista delle Group Policy da applicare.
  3. La lista è processata e, per ogni policy nella SYSVOL, è copiato il file GptTmpl.inf nel file tmpgptfl.inf locale nella cartella C:\Windows\Security\Templates\Policies.

    image

  4. Dopo la copia, il file tmpgptfl.inf è aperto e modificato inserendo due righe (GPOPath… e DSPath…) che riportano l’informazione della policy da dove è stato copiato il file e successivamente è salvato nel formato gpt0000X.dom/inf

    image

  5. Per ogni file GptTmpl.inf nelle Group Policy troviamo un file in locale: gpt00000.dom, gpt00001.dom, gpt0000X2inf.
    Un esempio della cartella C:\Windows\Security\Templates\Policies

    image

  6. Successivamente i file sono letti e le policy applicate. Per quanto riguarda i Restricted Group è letta la configurazione sotto [Group Membership].
    Prendendo l’esempio sopra troviamo giustamente i due SID del gruppo GruppoAmmComputer e dell’utente Mbelloni
  7. Per controllare che la policy sia applicata correttamente si può analizzare il winlogon.log sotto C:\Windows\Security\Logs.
    Nel nostro esempio sono stati rimossi i gruppi e utenti presenti ed è stato aggiunto l’utente Mbelloni

    image

  8. Successivamente è stata modificata la Group Policy aggiungendo il gruppo “GruppoAmmComputer” nei Restricted Group

    image

    Questo è il log successivo all’applicazione delle GPO dopo la modifica:

    image

  9. L’evento SceCli 1704 segnala che la policy è stata applicata con successo senza errori.

    image

Maggiori informazioni sono disponibili nel seguente articolo:
MSDN – Restricted Groups

 

Matteo Belloni
Support Escalation Engineer
Microsoft Enterprise Platform Support

Comments (0)

Skip to main content