3种用组策略将域账号加入本地管理员组的方式日本女朋友问了我2次当前系统域账号是如何在第一次登陆时手动加入域客户端本地管理员组的我猜不外乎就是脚本计算机策略或虚拟机初始化的手动应答脚本结果系统的前任朋友找到了答案--GPO的用户策略准确讲是用户首选项SIGN明天寻思了一下采用下述3种方式之一即可实现1对于WIN2003域控制器DC环境使用计算机策略的受限制的组2对于WIN20082008R2尽可能用R2的DC的DC环境使用用户配置首选项中本地用户和组用在将登陆账号手动加入本地管理员组的场合3对于WIN20082008R2尽可能用R2的DC的DC环境使用计算机配置首选项中本地用户和组用在将重要的域组加入客户端本地管理员组的场合下边让我细细道来第1种方式的
步骤很简单在域中创建一个test01g1组账号即将加入本地管理员组的域账号test01user_1加入g1组在组策略中在受限制的组上右键选添加组之后把一些元素添入选项参照本文第1幅图刷新域客户机的组策略就可以看见test01g1组被手动加入到本地管理员组了如下图第2种方式为了防止干扰我创建了另一个2008R2的域来验证第2种方式该域WINXP03客户机的初始本地管理员成员如下为了使GPO首选项能作用到客户端须要在域客户端安装客户端扩充集组件CSEURL为WS10aspx按照客户端OS类型选相应组件下载并安装到WINXP03客户机中如右图XMLLiteXML无需安装在2008R2上开始设置GPO的用户配置项按右图添加对客户端本地Administrato
rs的操作策略操作中的更新代表关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf更新域客户端Administrators组中的成员添加当前用户是指添加登陆时的域账号到客户端本地Administrators组只要域账号一登陆就把它加入本地管理员组如今用域账号test02user_1登陆测试一下用户首选项策略生效该账号被成功加入管理员组接下来瞧瞧删掉所有成员用户的结果换一个test02user_2账号似乎已将后面加入的user_1账号删掉还有其他除administrator以外的用户账号被删除本地的USER1之后我们继续选删掉所有成员组并计划项目进度计划表范例计划下载计划下载计划下载课程教学计划下载将本地administrator也从管理员组中删掉其结果如下1所有用户账号被从管理员组中删掉除当前登入用户除外这样多个域用户账号登入同一个客户端只会保留最后一个登
录账号加入本地管理员这就是俺们要的动态加入的疗效2所有组账号都被从管理员组中删掉包括DomainAdmins3administrator账号是外置账号所以如何设置都删掉不掉第3种方式刷新策略就可以看见TEST02DomainAdmins加入到客户机本地管理员组了有关冲突策略的优先级测试接下来在保持原先用户首选项的前提下把计算机首选项也作相同的删掉用户和组操作如下图刷新一下组策略test02user_1被删掉而test02DomainAdmins被加入看起来当计算机首选项与用户首选项冲突时似乎符合组策略的计算机策略优先定理而且且慢若果再度注销而用user_1账号重登陆发觉test02DomainAdmins却又一次被删除这是为何答案就是首选项并非强制
的也就是说除了客户端用户自己可以自动改配置诸如自动删掉这儿由首选项加入的域账号并且前面执行的首选项会盖掉后面的这是与组策略中的策略设置是完全不同的我们可以再验证一下上述的推论假如我们重启客户机之后不登陆域这样就不会使用到用户首选项而是登陆本机此时仅计算机首选项生效仅计算机首选项生效仅计算机首选项生效注销换个域用户账号登入计算机首选项设置不见了换作用户首选项设置最后总结一下1有3种方式可行假如是03域控用受限制的组假如是08R2域控加组账号时可以用计算机首选项加用户账号时可以用用户首选项2不要使用Windows2008域控要用Windows2008R2域控由于后者存在BUG我遇见很多次3首选项设置时最好选更新操作且用户首选项要同时设置删掉所有成员用户项
否则每登陆一个用户都会累加一个本地管理员账号4首选项是非强制性的计算机首选项优先级并不会比用户首选项来得高看谁最后执行5最好不要同时设置计算机首选项和用户首选项仅用前者也可以添加域组到本地管理员组用多了脑袋容易漏电首选项设置中的更新删掉等4种操作的说明WS10aspx额外的一个好习惯不要把计算机策略和用户策略定义在一个GPO中而要分成2个GPO这样会愈发的清晰例如定义一个Sales_Dept_Comp_Pol和Sales_Dept_User_Pol之后后者中只定义计算机策略前者当中只定义用户策略之后维护一看名子就分辨下来了而且Comp_OU与User_OU也分开后者只放计算机对象前者只放用户对象组策略便可一一对应上这样就不容易搞得神经错乱了
