如何远程维护当地的Windows 环境中的帐户和组?
答案1
您可以使用多种方法来执行此操作。我只是使用调用 NET.EXE 命令行实用程序的 CMD 脚本。
要删除用户:
NET USER <username> /DELETE
要创建新用户并将其添加到管理员组:
NET USER <username> <password> /ADD
NET LOCALGROUP Administrators <username> /ADD
请注意,您的脚本将以明文形式包含密码,并对其进行相应的保护。如果您将脚本指定为 AD 启动脚本(我会这样做),请更改脚本上的安全权限以包括“域计算机 - 读取和执行”并删除“经过身份验证的用户”权限,这样您就可以大大保证明文密码的安全。
如果您在同一台机器上多次运行该脚本,则不会有任何影响。但是,如果您想跟踪该脚本在哪些机器上运行过,您可以考虑以下方法:
- 在 AD 中创建一个组——说“用户创建脚本完成”。
- 修改组的权限以包括“域计算机 - 写入/添加自己为成员”
在上面的脚本中,添加以下行:
NET GROUP“用户创建脚本完成”/DOMAIN /ADD %COMPUTERNAME%$
您会看到该组在每台机器上运行时“增加”成员计算机。
如果您想阻止脚本在已经运行的计算机上运行,请向分配启动脚本“用户创建脚本完成 - 拒绝应用组策略”的 GPO 添加权限。然后脚本将在每台机器上运行一次。(实际上,我经常使用这种“陷阱门”脚本来实现各种系统管理功能。)
答案2
1. MS 方式: http://support.microsoft.com/kb/272530
2. MS 聘请了一位天才: http://technet.microsoft.com/en-gb/sysinternals/bb897553.aspx
3. GPO方式: http://www.gilham.org/Blog/Lists/Posts/Post.aspx?List=aab85845-88d2-4091-8088-a6bbce0a4304&ID=505
4.机器有时关闭:使用 SMS/SCCM 发布更改密码的命令警告:这使得密码以明文形式保留,因此脚本在完成后会删除该文件
答案3
我建议使用“受限组”将用户添加到管理员组,而不是编写脚本。使用 GPO 应用此功能。
将它与@MathewC 的 #3 结合起来,您应该会得到一个强大的解决方案。