Webcast da Windows IT Pro mostra como utilizar GPOs para restringir os membros de grupos restritos, de forma que se possa controlar quem deve estar no grupo Administrators, Power Users e outros grupos comumente usados em redes baseadas no Microsoft Active Directory.

O uso das Restricted Group Policies é bastante útil quando se tem uma definição clara das pessoas quem devem fazer parte destes grupos, mas gerenciar exceções é um problema.

Exemplifico:

Se na empresa há uma equipe de suporte que precisa estar no grupo Administrators para ter acesso total a estações e servidores,  por exemplo, mas para um servidor específico há um outro usuário que precisa estar no grupo, a política somente não vai resolver o problema.

Isto porque a definição dos participantes do grupo não admite exceções, de forma que a GPO, uma vez aplicada numa OU, vai restringir os membros do grupo para todos os computadores naquela OU.

Resultado:

Uu somente a equipe de suporte será membro do grupo, ou o usuário “extra” será membro do grupo em todos os servidores.

Uma solução seria criar uma OU para cada exceção e mover os equipamentos afetados para lá, o que pode ser adequado no caso de poucos servidores, mas absolutamente inviável para estações, por exemplo, onde pode haver uma quantidade grande de exceções, já que certos perfis de usuário necessitam de permissões especiais para realizar certas operações, eventualmente até administrar a estação.

Por isso, no meu entendimento, esta política acaba sendo de difícil uso na prática, em ambientes onde há muitas exceções na administração de estações e servidores.

Alguém enxerga a situação de outro modo ?