3种使用组策略将域帐户添加到本地管理员组的方法一位台湾女同事问我2次当前系统域帐户如何在第一次登录时自动添加到域客户端的本地管理员组中,我猜无非就是它是脚本计算机策略或虚拟机初始化的自动响应脚本。系统的前同事找到了答案——GPO的用户策略正是用户偏好。域控制器DC环境尽量使用计算机策略2的限制组对于WIN20082008R2,R2 DC的DC环境使用本地用户和组中的用户配置偏好,在登录账户自动添加到本地管理员组的情况下 3 对于WIN20082008R2尽量使用R2的DC的DC环境。在计算机配置首选项中,本地用户和组用于将重要的域组添加到客户端的本地管理员组。让我详细解释第一种方法。
步骤非常简单。在域中创建一个 test01g1 组帐户。将添加到本地管理员组的域帐户 test01user_1 添加到 g1 组。在组策略中,右键单击受限组并选择添加组,然后将一些元素添加到选项中。参考本文第一页图刷新域客户端的组策略,可以看到test01g1组自动添加到本地管理员组。第二种方法是避免干扰。为了避免干扰,我创建了另一个2008R2域来验证第二种方法。域WINXP03客户端本机初始本地管理员成员如下。为了使 GPO 首选项在客户端上起作用,客户端扩展集组件需要安装在域客户端上。2008R2无需安装XMLLiteXML即可开始如下图设置GPO用户配置项为客户端添加本地Administrator
rsRepresentation的运营策略运营策略中的入党方式、会员人数与mm对照表、教师职称等级表、员工考核分数表、普通年金现值系数表、更新域客户端,Administrators组中的成员,当前用户是指添加登录。域帐户登录后,将其添加到本地管理员组。现在用域账号test02user_1登录,测试用户偏好策略是否生效。该帐户已成功添加到管理员组。接下来,删除所有成员用户的结果,改为test02user_2账户。很明显,之前添加的user_1账号已经被删除了,除了administrator之外的其他用户账号也被删除了。本地USER1 然后我们继续选择删除所有成员组,并计划一个完整的商业计划书教育商业计划书商业计划书提案范医学项目提案股权融资项目提案本地管理员也从管理员组中删除。结果如下 1. 除当前登录用户外,所有用户账户都从管理员组中删除。这样的多个域用户账号登录同一个客户端只会保留最后一次登录 除当前登录的用户外,所有用户帐户都将从管理员组中删除。这样的多个域用户账号登录同一个客户端只会保留最后一次登录 除当前登录的用户外,所有用户帐户都将从管理员组中删除。这样的多个域用户账号登录同一个客户端只会保留最后一次登录
这就是我们想要的动态连接的效果。2.所有组账号都从管理员组中删除,其中DomainAdmins3administrator账号是内置账号,无论怎么设置都无法删除。第三种方法可以通过刷新策略看到。TEST02DomainAdmins 已添加到客户端本地管理员组,并测试冲突策略的优先级。接下来,在保留之前的用户偏好的同时,还删除了计算机偏好。用户和组操作刷新如下所示。组策略 test02user_1 被删除。并添加了 test02DomainAdmins。看起来,当计算机偏好与用户偏好发生冲突时,似乎符合组策略的计算机策略优先规律,但速度较慢。如果您再次注销并使用 user_1 帐户重新登录,您会发现 test02DomainAdmins 再次被删除。这就是为什么答案是第一个选项不是强制性的
也就是说,不仅客户端用户可以手动更改配置,比如这里手动删除首选项添加的域账户,而且后面执行的首选项也会覆盖之前的。这与组策略中的策略设置完全不同。我们可以来验证一下上面的结论,如果我们重启客户端,然后不登录域,那么用户首选项就不会用了,但是会登录本地机器。这个时候,只有电脑首选项会生效,只有电脑偏好才会生效,只有电脑偏好才会生效。注销并更改域用户。账户登录电脑偏好设置不见了,取而代之的是用户偏好设置。最后,总结 1. 有 3 种方法可用。如果是 03 域控制器,请使用受限组。如果是08R2域控制器,可以在添加组账号时使用电脑偏好添加用户账号。2 不要使用Windows2008域控制器,使用Windows2008R2域控制器,因为前者有bug,我遇到过很多次 3 设置首选项时,最好选择更新操作和用户首选项同时设置删除所有成员用户项
否则,每次用户登录时都会累积一个本地管理员帐户。 4 首选项是非强制性的计算机首选项。优先级不高于用户偏好。5 最好不要同时设置电脑偏好和用户偏好。只用后一种选项,还可以在本地管理员组中添加域组,多动脑筋容易短路,容易短路更新删除等4个操作的描述首选项设置。WS10aspx 的另外一个好习惯就是不要将计算机策略和用户策略定义在一个 GPO 中,应该分成 2 个 GPO组策略删除本地管理员,这样会更清晰。例如组策略删除本地管理员,定义一个 Sales_Dept_Comp_Pol 和 Sales_Dept_User_Pol,然后只在前者中定义计算机策略。在后者中,只定义用户策略,然后维护名称来区分,Comp_OU和User_OU也是分开的。放计算机对象和后者只放用户对象组策略一一对应,不容易混淆。
