我有一个 Windows 2008R2 DC(刚刚设置),我们已经有大约 25 个 Windows 7 专业版/终极版客户端,我们现在要将它们加入我们的新域/dc。用户已经在使用这些机器,并且是该机器上的本地管理员。
我想通过 GPO 部署一个用户,该用户可以在每个本地 Windows 7 机器上创建并具有本地管理员权限,或者在域中的每台 PC 上创建具有本地管理员权限的域用户(Windows XP、7)。
如果有人能在这方面提供帮助,我将不胜感激 - 我确实尝试过自己创建一个用户,但无法创建,我使用Computer SettingsGPO Edit 中的组来创建用户。
感谢阅读 - 期待您的指导 Rihatum
答案1
我的第一个建议是,您应从用户手中夺取这些管理员权限。最终,这将使您的生活变得轻松很多。轻松太多!用户在成为管理员时往往会弄乱他们的计算机……病毒、间谍软件、工具栏、垃圾免费软件、更改此设置、删除此文件……不要处理它。
话虽如此,如果您确实必须授予用户管理员权限,您可以轻松创建一个在每台 PC 上具有本地管理员权限的域用户。首先在 AD 中创建一个用户。然后创建一个组策略并将其应用于所有工作站。在此组策略中,深入研究以下内容:
计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 受限组
添加一个新的受限组,并确保域管理员和您刚刚创建的用户是该组的成员。这将不允许您向这些机器添加任何其他本地管理员,而只会完成您想要做的事情。
答案2
其他答案已经很好地涵盖了这一点,但我只想提一下,组策略客户端首选项是管理本地用户和组的另一个不错的选择,它比受限组具有更大的灵活性(但客户端兼容性较差)。
答案3
http://www.windowsecurity.com/articles/using-restricted-groups.html
应遵循安全原则。创建一个桌面管理组,将用户添加到该组,然后将其添加到受限组。