我正在尝试重命名 2003 域中所有 PC 上的本地管理员帐户。我拥有的使用 GPP 重命名本地管理员的 GP 似乎可以正常工作。但是,我遇到的问题是,本地管理员帐户未命名为“管理员”,而是安装操作系统的人在加入域之前在用户框中输入的内容,如“Bob”或“User”。新的管理员帐户被添加,但旧的管理员帐户不会被替换。
不幸的是,我们仍然有一些用户需要本地管理员权限,否则我只会删除该组并重命名管理员,然后就完成了。有没有办法通过 GP 删除所有其他本地创建的管理员帐户并将域帐户保留在本地管理员组中?
如果我弄错了,本地管理员组包含以下帐户:renamedAdmin、Bob、DOMAIN\someUser。我希望它只包含 renameAdmin 和 DOMAIN\someUser。有什么解决办法吗?谢谢。
答案1
您可以使用 GPO 执行此操作受限群组
计算机配置>Windows 设置>安全设置>受限组。
如果您使用策略的“成员”受限组部分进行设置,它将删除本地列出的任何其他内容。它只会应用您策略中的组。您可以阅读更多相关信息这里如果其他用户需要本地管理员权限,我可能会将他们转储到安全组中,然后将该安全组添加到受限组。
另请注意,您需要确保在此组中包含域管理员和新的本地管理员,否则没有人会成为本地管理员组。