公司网络的外网和内网在物理上是分开的。在不久的将来,他们将始终需要在 Intranet 上玩。他们做了一个专门的网站组策略删除本地管理员,放在内网服务器上。结果很伤心,用户无法播放,因为域用户没有安装flash播放器的权限。. 域用户都在域用户组下。这个用户组的权限很低。因此,所有用户都需要被提升。下面跟大家分享一下域用户增强本地管理员用户权限的方法。
1、对于 WIN2003 域控制器 (DC) 环境,使用计算机策略的“受限组”
2、对于WIN2008/2008R2的DC环境(尽量使用R2的DC),在用户配置首选项中使用“本地用户和组”。当登录帐户自动添加到本地管理员组时使用它。
3、对于WIN2008/2008R2的DC环境(尽量使用R2的DC),使用电脑配置首选项中的“本地用户和组”,将重要的域组添加到客户端的本地管理员组中。.
下面我来详细介绍一下。
第一种方法的步骤很简单:
.在域中创建一个test01\g1组账号,将要加入本地管理员组的域账号test01\user_1添加到g1组中
. 右键单击组策略中的“受限组”选择添加组,然后在选项中添加一些元素,参考本文第一张图
.刷新域客户端的组策略,可以看到test01\g1组自动加入本地管理员组,如下图
方法二:
为了避免干扰,我创建了另一个2008R2域来验证方法二,域WINXP03客户端的初始本地管理员成员如下:
为了让 GPO“首选项”在客户端工作,客户端扩展集 (CSE) 需要安装在 URL 的域客户端上:
(WS.10).aspx
根据客户端操作系统类型选择对应的组件下载,安装到WINXP03客户端,如下图(XMLLite XML不需要安装):
在2008R2上,开始设置GPO的用户配置项,并将操作策略添加到客户端的本地Administrators中,如下图
操作中的“更新”是指更新域客户端Administrators组的成员,“Add current user”是指将登录时的域账号添加到客户端本地的Administrators组中,只要域账号登录,就会被添加到本地管理员组
现在用域账户 test02\user_1 登录并测试一下
用户偏好策略生效,账号成功加入管理员组
接下来看“删除所有会员用户”的结果
更改为 test02\user_2 帐户。很明显,之前添加的user_1账号已经被删除了,除了administrator之外的其他用户账号也被删除了(本地USER1)
然后我们继续选择删除所有成员组,并计划将本地管理员也从管理员组中删除
结果如下:
1.除当前登录的用户外,所有用户帐户都从管理员组中删除。这样,当多个域用户账号登录同一个客户端时,只会保留最后一次登录的账号加入本地管理员,这就是我们想要的“动态”加入的效果。
2.所有组帐户都已从 Administrators 组中删除,包括 Domain Admins
3.管理员账号是内置账号,无论怎么设置都无法删除
第三种方法:
刷新策略可以看到 TEST02\Domain Admins 添加到客户端的本地管理员组
冲突策略的优先级测试:
接下来在保持之前的用户偏好的前提下,和电脑偏好一样删除用户和群组,如下图
刷新组策略,删除test02\user_1,添加test02\Domain Admins,看起来当电脑偏好和用户偏好冲突时组策略删除本地管理员,似乎符合组策略“电脑策略优先”的规律,但是,慢。..
如果我再次注销并使用user_1帐户重新登录,我发现test02\Domain Admins又被删除了,这是为什么?
答案是:偏好不是强制性的!也就是说,客户端用户不仅可以手动更改配置(例如手动删除首选项添加的域帐户),而且稍后执行的首选项将覆盖之前的首选项。这与组策略中的“策略”设置完全不同。
我们可以再次验证上述结论。如果我们重启客户端机器,那么不是登录域(这样用户首选项就不会用了),而是登录本地机器(此时只有电脑首选项才会生效)
只有计算机首选项生效:
注销并使用另一个域用户帐户登录:
电脑偏好设置不见了,取而代之的是用户偏好设置
最后,总结一下:
1、有3种可能的方法,如果是03域控制器,使用“限制组”,如果是08R2域控制器,可以在添加组帐户时使用计算机首选项,使用用户首选项添加用户帐户时
2、不要使用Windows 2008域控制器,使用Windows 2008R2域控制器,因为前者有bug,我遇到过很多次
3、设置偏好时最好选择“更新”操作,同时在用户偏好中设置“删除所有成员用户”项,否则每次用户登录时,本地管理员帐户将被累积。
4、首选项是可选的,计算机首选项不会优先于用户首选项,这取决于谁最后执行
5、最好不要同时设置电脑偏好和用户偏好。只有后者还可以将域组添加到本地管理员组。用多了,大脑容易短路
转载请注明: 电脑保姆之家 » 如何使用组策略将域帐户添加到本地管理员组