公司网路的内网和外网在数学上是分开的。在不久的将来,他们将仍然须要在 Intranet 上玩。他们做了一个专门的网站组策略删掉本地管理员,放在外网服务器上。结果很难过,用户难以播放,因为域用户没有安装flash播放器的权限。. 域用户都在域用户组下。这个用户组的权限很低。因此,所有用户都须要被提高。下面跟你们分享一下域用户提高本地管理员用户权限的方式。
1、对于 WIN2003 域控制器 (DC) 环境,使用计算机策略的“受限组”
2、对于WIN2008/2008R2的DC环境(尽量使用R2的DC),在用户配置首选项中使用“本地用户和组”。当登入账户手动添加到本地管理员组时使用它。
3、对于WIN2008/2008R2的DC环境(尽量使用R2的DC),使用笔记本配置首选项中的“本地用户和组”,将重要的域组添加到客户端的本地管理员组中。.
下面我来详尽介绍一下。
第一种方式的步骤很简单:
.在域中创建一个test01\g1组帐号,将要加入本地管理员组的域帐号test01\user_1添加到g1组中
. 右键单击组策略中的“受限组”选择添加组,然后在选项中添加一些元素,参考本文第一张图
.刷新域客户端的组策略,可以看见test01\g1组手动加入本地管理员组,如右图
方法二:
为了防止干扰,我创建了另一个2008R2域来验证方式二,域WINXP03客户端的初始本地管理员成员如下:
为了让 GPO“首选项”在客户端工作,客户端扩充集 (CSE) 需要安装在 URL 的域客户端上:
(WS.10).aspx
根据客户端操作系统类型选择对应的组件下载,安装到WINXP03客户端,如下图(XMLLite XML不需要安装):
在2008R2上,开始设置GPO的用户配置项,并将操作策略添加到客户端的本地Administrators中,如右图
操作中的“更新”是指更新域客户端Administrators组的成员,“Add current user”是指将登陆时的域帐号添加到客户端本地的Administrators组中,只要域帐号登入,就会被添加到本地管理员组
现在用域帐户 test02\user_1 登录并测试一下
用户偏好策略生效,账号成功加入管理员组
接下来看“删除所有会员用户”的结果
更改为 test02\user_2 帐户。很明显,之前添加的user_1帐号早已被删除了,除了administrator之外的其他用户帐号也被删除了(本地USER1)
然后我们继续选择删掉所有成员组,并计划将本地管理员也从管理员组中删掉
结果如下:
1.除当前登入的用户外,所有用户账户都从管理员组中删掉。这样,当多个域用户帐号登入同一个客户端时,只会保留最后一次登陆的帐号加入本地管理员,这就是我们想要的“动态”加入的疗效。
2.所有组账户都已从 Administrators 组中删掉,包括 Domain Admins
3.管理员帐号是外置帐号,无论如何设置都未能删掉
第三种方式:
刷新策略可以看见 TEST02\Domain Admins 添加到客户端的本地管理员组
冲突策略的优先级测试:
接下来在保持之前的用户偏好的前提下,和笔记本偏好一样删掉用户和群组,如右图
刷新组策略,删除test02\user_1,添加test02\Domain Admins,看起来当笔记本偏好和用户偏好冲突时组策略删掉本地管理员,似乎符合组策略“电脑策略优先”的规律,但是,慢。..
如果我再度注销并使用user_1账户重新登陆,我发觉test02\Domain Admins又被删掉了,这是为什么?
答案是:偏好不是强制性的!也就是说,客户端用户除了可以自动修改配置(例如自动删掉首选项添加的域账户),而且稍后执行的首选项将覆盖之前的首选项。这与组策略中的“策略”设置完全不同。
我们可以再度验证上述推论。如果我们重启客户端机器,那么不是登陆域(这样用户首选项就不会用了),而是登陆本地机器(此时只有笔记本首选项才能生效)
只有计算机首选项生效:
注销并使用另一个域用户账户登陆:
电脑偏好设置不见了,取而代之的是用户偏好设置
最后,总结一下:
1、有3种可能的方式,如果是03域控制器,使用“限制组”,如果是08R2域控制器,可以在添加组账户时使用计算机首选项,使用用户首选项添加用户账户时
2、不要使用Windows 2008域控制器,使用Windows 2008R2域控制器,因为后者有bug,我遇见过很多次
3、设置偏好时最好选择“更新”操作,同时在用户偏好中设置“删除所有成员用户”项,否则每次用户登入时,本地管理员账户将被累积。
4、首选项是可选的,计算机首选项不会优先于用户首选项,这取决于谁最后执行
5、最好不要同时设置笔记本偏好和用户偏好。只有前者还可以将域组添加到本地管理员组。用多了,大脑容易漏电
转载请标明: 电脑保姆之家 怎样使用组策略将域账户添加到本地管理员组