Grupy są absolutnie fundamentalnym elementem efektywnego administrowania w zasadzie dowolnymi systemami. Grupy lokalne, w domenie czy w chmurze – wszędzie do usprawnienia procesu zarządzania wykorzystujemy grupy, choć nieco różniące się od siebie. Myślę, że każdy mający jakiekolwiek doświadczenie w administrowaniu zgodzi się, że nie wyobraża sobie efektywnego zarządzania bez grup. Realizacja prostych, codziennych czynności administracyjnych oddziaływając na grupy, a nie np. indywidualnie na każdego użytkownika, jest istotnie szybsza i łatwiejsza.
Zastosowanie grup lokalnych
Grupy, jak sama nazwa wskazuje, pozwalają nam na grupowanie innych obiektów, np. użytkowników czy urządzeń. Taki sposób podziału pozwala administratorowi wpływać od razu na całą grupę użytkowników czy maszyn, a nie indywidualnie na dany obiekt. Konfigurując i aplikując GPO w środowisku on-premises dużo efektywniej jest przypisać odpowiednie GPO do grup urządzeń, niż do konkretnych urządzeń. Przy wielu różnych GPO przypisanych do danej grupy, umożliwia to np. automatyczne zaaplikowanie wszystkich GPO do nowego urządzenia wyłącznie poprzed dodanie go do odpowiedniej grupy, na którą dane GPO oddziaływują.
Analogiczne ustawienia i zasady dla urządzeń możemy przypisać za pomocą tego typu rozwiązań w chmurze. Innym przykładem może być np. zarządzanie uprawnieniami, tym razem na przykładzie grup użytkowników. Dużo łatwiej jest zarządzać uprawnieniami przypisując je do konkretnej grupy użytkowników, niż nadawać je indywidualnie, dla każdego z nich. Podobnie jak w przypadku urządzeń, nowego użytkownika wystarczy dodać do odpowiednich grup, aby wszystkie niezbędne uprawnienia zostały mu nadane. Nie wspominając już, że może on być dodawany do grup automatycznie np. na podstawie działu czy stanowiska.
Grupy lokalne pod względem zastosowania nie różnią się diametralnie od tych, wykorzystywanych w opisanych wyżej środowiskach. Mają one oczywiście zastosowanie lokalne i dotyczą wyłącznie działań w obrębie jednego urządzenia, ale ich podstawowy cel pozostaje taki sam. Ułatwiają one zarządzenie użytkownikami, szczególnie w kontekście przypisywania im odpowiednio dobranych uprawnień. Użytkowników lokalnych możemy uporządkować za pomocą odpowiednich grup, a następnie szczegółowo określić ich uprawnienia za pomocą GPO. W ten sposób, gdy zajdzie potrzeba nadania uprawnień nowemu użytkownikowi, czy zmiany ich dla istniejącego już użytkownika, wystarczy dodać go do odpowiedniej grupy … i gotowe.
Wbudowane grupy lokalne
W systemie Windows 11 możemy spotkać cały szereg różnych grup, które są tworzone wraz z instalacją systemu:
W zasadzie wszystkie wbudowane w system grupy bazują na przypisanym do nich specyficznym zestawie uprawnień, pozwalającym na wykonanie danych czynności. Dla przykładu grupa Backup Operators posiada uprawnienia do czynności związanych z backup-ami, czy Hyper-V Administrators do czynności związanych z Hyper-V. Nazwy grup w wielu przypadkach zostały nadane dość logicznie, adekwatnie do uprawnień, które możemy dzięki nim uzyskać.
Szczególnej uwagi wymagają tutaj dwie podstawowe grupy, które są związane z rolami przypisywanymi podczas tworzenia kont. Tworząc konta użytkowników mamy bowiem możliwość określenia najbardziej podstawowych uprawnień na podstawie określenia typu konta. Mówimy tutaj o koncie lokalnego administratora oraz użytkownika. Bardziej szczegółowo o kontach lokalnych pisałem w tym wpisie.
Z powyższymi typami kont związane są dwie grupy wbudowane – Administrators oraz Users. Pierwsza z nich jest domyślną grupą, do której dodawane są konta lokalnych administratorów. Powiązane z nią uprawnienia to w zasadzie pełne uprawnienia umożliwiające na zarządzanie danym urządzeniem. Grupa Users z kolei to grupa, do której trafiają wszystkie konta użytkowników lokalnych. Powiązany z nią zestaw uprawnień pozwala na standardowe korzystanie z komputera, blokując możliwość podejmowania działań administracyjnych.
Tworzenie grup lokalnych
Grupy lokalne możemy tworzyć na kilka różnych sposobów. Możemy to zrobić zarówno za pomocą GUI (Graphical User Interface), jak i za pomocą konsoli systemowych. Przejdźmy od razu do konkretów:
Local Users and Groups
Zaczniemy od GUI. Podstawowym miejscem, w którym możemy stworzyć grupy z poziomu GUI, jest „Local Users and Groups”. Do tego miejsca możemy dostać się na kilka różnych sposobów. Jednym z nich jest wyszukanie „Computer Management” na naszym urządzeniu, a następnie odnalezienie tam „Local Users and Groups”:
Możemy również dostać się w to miejsce wpisując „lusrmgr.msc” w konsolę „Run” (Win+R):
czy wpisując „lusrmgr” lub „lusrmgr.msc” w Command Line:
W celu utworzenia nowej grupy klikamy PPM na pustą przestrzeń, a następnie wybieramy opcję „New Group…”
Następnie w prostym kreatorze musimy tylko wskazać nazwę grupy oraz opcjonalnie uzupełnić jej opis i dodać członków:
Po kliknięciu przycisku „Create” grupa zostaje utworzona:
Aktualnie, grupa jest oczywiście wyłącznie „zbiorem” użytkowników. Wszelkie uprawnienia, które będą nadawane członkom grupy, należy teraz powiązać z grupą np. w lokalnym GPO. Możemy to zrobić w zaznaczonym na zrzucie ekranu poniżej miejscu, dodając grupę do polityk/uprawnień, które chcemy jej nadać:
Command Line
Grupy lokalne możemy oczywiście również tworzyć z poziomu Command Line-a. Oczywiście, aby tworzyć grupy niezbędne są nam uprawnienia administratora, czyli de facto uruchomienie Command Line-a jako administrator. Do tworzenia grup lokalnych będziemy posługiwali się poleceniem „net localgroup”. Grupę, można dodać posługując się prostym poleceniem:
net localgroup <Nazwa grupy> /addW praktyce polecenie tworzące przykładową grupę może wyglądać następująco:
Naturalnie z poziomu Command Line mamy również możliwość dodania członków do grupy lokalnej. W tym celu możemy posłużyć się poleceniem:
net localgroup "<Nazwa Grupy>" "<Nazwa Użytkownika>" /addW praktyce przykładowe polecenie dodające użytkownika „Test3” do grupy „Test Group” będzie wyglądało następująco:
Więcej na temat możliwości polecenia „net localgroup” można przeczytać w poświęconej mu oficjalnej dokumentacji Microsoft.
PowerShell
Podobnie jak w przypadku Command Line-a, do tworzenia nowych grup możemy wykorzystać również polecenia dostępne w PowerShell-u. Do tworzenia nowych grup będziemy posługiwali się poleceniem „New-LocalGroup”. Przykładowe polecenie pozwalające nam na stworzenie nowej grupy może wyglądać następująco:
New-LocalGroup -Name "<Nazwa Grupy>" -Description "<Opis grupy>"W praktyce przykładowe polecenie tworzące nową grupę może wyglądać następująco:
Aby dodać użytkownika do grupy lokalnej możemy wykorzystać polecenie Add-LocalGroupMember. Przykładowe polecenie może wyglądać następująco:
Add-LocalGroupMember -Group "<Nazwa grupy>" -Member "<Nazwa użytkownika>"W praktyce przykładowe polecenie dodające użytkownika „Test1” do grupy „PSTestGroup” może wyglądać następująco:
Oczywiście PowerShell, podobnie jak Command Line, posiada dodatkowe przełączniku, które możemy wykorzystać posługując się wymienionymi poleceniami. Więcej informacji na ten temat można odnaleźć w oficjalnej dokumentacji Microsoftu poświęconej tym poleceniom – New-LocalGroup i Add-LocalGroupMember.
Ten artykuł został pierwotnie opublikowany w marcu 2021 roku i dotyczył grup lokalnych w Windows 10. Powyższy artykuł stanowi aktualizację związaną z kwestią grup lokalnych w ramach Windows 11.
Coś jest dla Ciebie niezrozumiałe? Chciałbyś wyrazić opinię na temat artykułu? Znalazłeś jakiś błąd? Koniecznie daj mi o tym znać wysyłając maila lub wypełniając formularz!
