组策略:特定计算机上特定用户的管理员权限

组策略:特定计算机上特定用户的管理员权限

我是一名程序员,正在尝试管理一家小公司的 Active Directory 设置。域控制器正在运行 Windows Small Business Server 2008。

我们有一批现场工作人员使用平板电脑;平板电脑的 ThinkVantage 臃肿软件的配置问题将要求这些用户在使用平板电脑时拥有管理员权限。没关系——当我通过电话指导他们解决问题时,拥有广泛的权限对他们很有用,所以我并不想在那里寻找解决方法。

我想使用组策略来设置以下场景:特定安全组(或组织单位)中的用户在登录到特定安全组(或组织单位)中的计算机时应位于 BUILTIN/Administrators 组中。如果计算机必须位于 OU 中,那就没问题,但我更愿意按组分配用户。

当然,现场工作人员不应该成为其他工作站的管理员,普通办公室工作人员也不应该成为平板电脑的管理员。

目前,这是在每台平板电脑上进行本地管理的,但随着我们增加新员工,它变得越来越麻烦。

我觉得“受限群组”就是答案,但如果没有扎实的 AD 概念和方法基础,我就很难实现它。

这项任务的正确技术是什么?我该如何实施它?

答案1

创建一个组来封装用户(Local-Admins-Tablets)并将他们添加到该组

创建当前工作站 OU 的子 OU,并将平板电脑放在此处(工作站\平板电脑)

创建一个 GPO(Local-Admins-Tablets-Policy)并将其链接到 Workstations\Tablets OU

在 GPO 中,设置以下内容:

  • Comp Config - 策略 - Windows 设置 - 安全设置 - 受限组
  • 右键点击,添加组
  • “管理员”,好的
  • 该组的成员:myDomain\Local-Admins-Tablets

重新启动电脑,完成。

请记住,设置受限组将覆盖计算机现有的本地管理员列表。如果您已经有其他用户/组,您也需要将它们添加到此策略中。其他示例包括myDomain\域管理员ETC

编辑:哦,更改 GPO 上的过滤并添加域计算机最简单的方法是使用组策略管理 MMC 管理单元(您可以从远程服务器管理工​​具来自微软)

答案2

如果您不介意管理员组实际上被锁定在本地计算机的未来更改之外,那么 Izzy 的答案是可以的。这还将清除在应用策略设置之前已经是管理员组成员的任何组。

但是,您可以以稍微不同的方式使用相同的策略设置来绕过这些烦恼(假设您甚至认为它们是烦恼)。

  • 按照与之前相同的方式创建 OU/Group 结构
  • 当您在组策略对象的“受限组”部分时,请添加组,但不要指定管理员, 指定您的域\本地管理员-平板电脑
  • 在里面“该团体是”部分,单击添加并输入管理员

这是两个部分工作方式上的一个细微但重要的区别。 本群组成员实际上是“组 A 将只包含组 X、Y 和 Z”。该团体是实际上是“确保组 A 是组 X、组 Y 和组 Z 的成员”。

一旦你设置了政策本群组成员,唯一可以修改组成员身份的是一个覆盖策略对象,该对象还使用本群组成员或任何其他使用策略该团体是

答案3

看起来您真正需要做的就是创建一个组策略,将域组添加到本地管理员组。这很容易通过简单的启动脚本或使用组策略首选项

用于添加组成员的简单启动脚本。

DomainName="example"
Set oShell = WScript.CreateObject("WScript.Shell")
Set oProcsEnv = oShell.Environment("Process")
ComputerName = oProcsEnv("COMPUTERNAME")
Set oGroup = GetObject("WinNT://" & ComputerName & "/" & "Administrators")
If Not oGroup.IsMember("WinNT://"&DomainName&"/_Group_Tablet_Admins") Then _
    oGroup.Add ("WinNT://"&DomainName&"/_Group_Tablet_Admins")

答案4

你说增加新员工很麻烦,但增加新平板电脑难道不麻烦吗?

我会做类似这样的事:

有一个域安全组,其中包含应成为平板电脑管理员的所有用户(即 TabletAdministrators)。

在每台平板电脑上,将该组添加到管理员组。

我不知道这是否是正确的技术。这只是我第一个想到的关于如何实施的想法。

相关内容