我有:
- 域控制器
- 多域用户
- 多个 Windows 工作站(该域的客户端)。
Windows 工作站是全新的物理计算机。除了加入域之外,没有对其进行任何配置。
有3点我不明白:
有没有办法在活动目录中配置本地用户权限?例如,说这个域用户(或组)应该是这台物理计算机上的管理员。还是我应该在每台物理计算机上手动执行此操作?
有没有办法拒绝特定机器上的特定用户?例如,除一台工作站外,所有用户都可以通过 RDP 连接所有工作站。
我曾尝试在一个工作站上手动设置本地组成员身份。我不明白,但是当我输入时,我可以看到我的本地组成员身份
whoami /groups
,但是在命令结果中我看到一个空白行“本地组成员身份”net user bob /domain
。这是什么原因?也许net user xxx /domain
不是设计用来显示本地组的?但是在这种情况下,为什么我会看到一个空白行“本地组成员身份”?我曾尝试输入net user bob
(没有 /domain 标志),但出现错误,因为此用户在本地不存在。
谢谢
答案1
有没有办法在活动目录中配置本地用户权限?例如,说这个域用户(或组)应该是这台物理计算机上的管理员。还是我应该在每台物理计算机上手动执行此操作?
通过组策略,使用“首选项 > 控制面板 > 本地用户和组”。(我认为还有其他方法,但首选项在这里效果很好,并允许多个重叠的 GPO 添加自己的管理组。)
但是,如果每台计算机都分配有管理员的特定用户,则在每台计算机上手动执行此操作可能会更容易。 (您可以使用sc
远程启动 WinRM 服务,然后使用winrs
或 PowerShell Remoting 远程调用net localgroup /add
...)
您当然可以同时使用两者 - GPO 将本地管理员授予“IT 人员”(并从本地管理员中删除“域管理员”!)但手动将本地管理员授予指定的用户。
有没有办法拒绝特定机器上的特定用户?例如,除一台工作站外,所有用户都可以通过 RDP 连接所有工作站。
通过组策略配置“Windows 设置 > 安全设置 > 本地策略 > 用户权限分配 > [允许/拒绝] 通过远程桌面服务登录”,默认已经是只允许管理员 + “RDP 用户”成员。
这也可以通过 gpedit.msc 或 secpol.msc 在每台机器上本地配置,但由于默认设置已经禁止不在“RDP 用户”中的用户,因此添加/删除组成员更简单。
(注意:“交互式”登录类型包括本地和 RDP 登录,而“网络”登录类型用于 SMB 访问。如果您安装了 SSH,它通常被归类为“交互式”,但在某些情况下可以是“网络”。)
我曾尝试在一个工作站上手动设置本地组成员身份。我不明白,但当我输入 whoami /groups 时,我可以看到我的本地组成员身份,但在 net user bob /domain 命令结果中,我看到一个空白行“本地组成员身份”。这是什么原因?也许 net user xxx /domain 不是为显示本地组而设计的?但在这种情况下,为什么我会看到一个空白行“本地组成员身份”?我曾尝试输入 net user bob(不带 /domain 标志),但出现错误,因为此用户在本地不存在。
它会显示本地会员资格在域控制器上,显然。
我怀疑它是 AD 之前域(例如基于 NetBIOS 的“NT 域”)的遗留,因为net.exe
仍然保留着那个时代的大量剩余代码 - 它甚至记得 OS/2 LAN Manager 甚至 NetWare(例如未使用的 /fpnw 开关)。