我有一个 Windows 7 映像,我将部署到系统中。我将初始帐户保留为本地管理员,以便以后对计算机进行任何修改。我还将计算机加入域。
现在,当我重新启动计算机时,我发现非内置本地管理员不再位于本地管理员组中!
这可能是什么原因造成的?我的第一个猜测是组策略,因为我会将帐户添加回本地管理员组,但重启后它又消失了。
答案1
确认/否认组策略影响客户端上的运行rsop.msc或使用GPResult,并查看他们向您显示有关应用的组策略的内容。
可能包括“受限群组”:
此功能使您(作为管理员)能够在客户端计算机或成员服务器上配置组成员身份。您可以将用户帐户添加到策略范围内的客户端计算机上的组中
或者,“本地组”组策略首选项:
保护本地管理员组的初始任务是确保用户不再拥有该组的成员身份。这说起来容易做起来难,因为大多数公司在安装用户计算机时已将用户的域帐户配置为拥有该组的成员身份。
...作为一个完美的解决方案,您可以使用本地组 - 组策略首选项在实施后约 90 分钟内完成任务。
答案2
配置域的撤销设置。
域管理员是完成此过程所需的最低组成员身份。
要配置域的撤销设置:
- 单击“开始”,指向“管理工具”,然后单击“服务器管理器”。
- 在“功能摘要”下,单击“添加功能”。选中“组策略管理”复选框,单击“下一步”,然后单击“安装”。
- 在“安装结果”页面显示组策略管理控制台 (GPMC) 安装成功后,单击“关闭”。
- 单击“开始”,指向“管理工具”,然后单击“组策略管理”。
- 在控制台树中,双击包含要编辑的默认域策略组策略对象 (GPO) 的林和域中的“组策略对象”。
- 右键单击“默认域策略”GPO,然后单击“编辑”。
- 在控制台树中的“计算机配置\Windows 设置\安全设置”下,单击“公钥策略”。
- 双击“证书路径验证设置”,然后单击“吊销”选项卡。
- 选中“定义这些策略设置”复选框,选择要应用的策略设置,然后单击“确定”以应用新设置。
答案3
从技术上来说,这是 Active Directory 所做的事情。
您必须创建一个单独的本地帐户并将其添加到内置管理员组。