我们需要一个需要本地管理员访问域中所有系统的工具(安全扫描工具)。
以下是目前已采取的措施:
- 创建账户
- 将该帐户添加到名为“安全管理员”的组
我们的问题是如何将该组添加到所有系统上的本地“管理员”组。
系统管理员尝试将其添加到默认策略,但最终却从本地“管理员”组中清除了现有用户。
我们如何将帐户添加到本地“管理员”没有覆盖其他帐户?
答案1
它清除了本地管理员组的内容,因为当您的系统管理员定义组策略首选项时,他选择了Replace要执行的操作。当应用于用户和组首选项时,这是一个危险的设置。正确的操作应该是Update。
Replace导致客户端首先删除管理员组的内容,然后仅添加您在组策略中指定的组。
Update保留该组并将您指定的组添加到已存在的列表中。
注意:当他在“常用”选项卡上选中“当不再适用时删除此项目”复选框时,它可能被设置为替换。选中此框会自动将操作更改为Replace。此复选框确实需要重新措辞。它没有按照措辞建议的那样执行。
答案2
如果有组策略首选项,这很简单。计算机策略中的首选项之一是控制本地组成员的功能。互联网上有很多关于如何使用此功能的指南,我提供了几个链接来为您指明正确的方向。请记住,您几乎肯定不想要“受限组”,您想要在首选项部分下管理组。
参考文献: