Premessa

Sicuramente tutti avranno prima o poi incocciato nelle Group Policy (dentro Computer Configuration -> Windows Settings), quella voce chiamata appunto Restricted Groups: leggendo quà e là la documentazione Microsoft (e anche in altri siti internet), si scopre che la funzione principale di questa impostazione è quella di garantire che i membri di un determinato gruppo siano soltanto quelli definiti nella policy, ovvero la policy ha in questo caso principalmente uno scopo di sicurezza.

 

 

 

Se in pratica definite una policy indicando che il gruppo Administrators deve contenere solo l'utenteAdministrator ed il gruppo Domain Admins, tutte le macchine interessate dalla policy in questione avranno dentro il gruppo soltanto i due membri precedentemente definiti: se mancano, la policy li aggiungerà mentre se ci sono altri utenti dentro Administrators, questi verranno rimossi.

Come si può facilmente intuire, questo aiuta a mantenere un saldo controllo sulle workstation evitando che eventuali "sporcizie" temporanee (es. utente messo temporaneamente come Admin locale) possano poi rimanere impunite.

C'è comunque un dubbio: che senso ha la voce Member Of, dato che un gruppo locale NON può essere membro di altri gruppi? Ad una prima ipotesi si potrebbe pensare di applicare la policy ad un DC (nel caso di gruppi globali avrebbe senso anche la voce Member Of).

 

Approfondimento

Sulla base di quanto appena detto, emerge subito che i Restriced Groups sono anche abbastanza pericolosi in quanto non ammettono eccezioni: o meglio, per ammettere l'eccezione dovete escludere la specifica macchina dalla policy.

Tra l'altro poi una delle richieste che spesso si fanno è: "come faccio ad aggiungere un utente/gruppo ad un certo gruppo locale (es. Administrators, ma in tanti casi anche Backup Operators)?".

Dato che i Restricted Groups (per come li conosciamo adesso) non ammettono eccezioni, non possono essere usati per questa attività (in tutte le reti c'è SEMPRE l'eccezione di un utente che deve essere amministratore della propria macchina perchè altrimenti il programma XYZK non funziona).

Una veloce ricerca su Internet porta ad una veloce risposta: è sufficiente creare uno script (spesso in VBS), da eseguire come Startup Script e che ha proprio il compito di aggiungere l'utente/gruppo di dominio al gruppo locale.

Se però si approfondiscono le letture, si scopre che la voce Member Of può essere usata proprio per questo! Per far ciò è comunque necessario "invertire i ruoli" ovvero definire come Restricted Group  il gruppo di dominio e mettere nella voce Member Of il gruppo locale:

 

 

Nota finale

Ora, i Restricted Groups sono lì da Windows 2000 e quindi è roba parecchio vecchia ed onestamente debbo dire che l'aver scoperto che potevano essere usati al posto dei fidi e collaudati script ormai usati da anni mi infastidito non poco  

Se però vado a ricercare i mei appunti dei corsi di Win2K (ed in particolare il MS2150), l'unica funzione dei Restricted Groups sembra proprio essere quella legata alla sicurezza. L'unico cenno che trovo è nel corso MS2152 dove si parla di "track and control the reverse membership" senza però fornire un concreto esempio.

Il fatto poi che tutti, su Internet, facciano riferimento a script per aggiungere utenti/gruppi globali a gruppi locali, fa sorgere il dubbio che, almeno inizialmente, Microsoft non avesse ben documentato questa potente (ed utile!) funzione..

Ed infatti, spulciando bene bene, si trova il caro articolo KB810076 che riporta quanto segue:

In versions of Microsoft Windows earlier than Microsoft Windows 2000 Service Pack 4 (SP4), the Restricted Groups Member of security setting in Group Policy cannot be used to add domain groups to local groups on member computers. The Restricted Groups behavior was updated in Windows 2000 SP4 and in the Microsoft Windows Server 2003 family

Una piccola consolazione per il proprio ego... che non aveva proprio sbagliato ma non si era accorto (insieme a molti altri) di questa "nuova" feature (evidentemente MOOLTO pubblicizzata!).