在我们的 AD 2003 域中,每个用户都拥有其计算机的本地管理员权限。其他所有人都可以作为普通用户使用其域帐户登录。
现在,这意味着进入桌面并手动将用户添加为本地管理员。
有没有办法通过登录脚本或 GPO 来自动化此过程?我找到了使用 gpo 使登录计算机的每个人都成为本地管理员的方法,但实际上只想将其授予计算机的主要用户(或在某些情况下是用户)。
我也见过需要为每台计算机添加一个组的方法......但我真的不想让 AD 变得如此混乱。
我确实有一个将每个用户映射到每台计算机名称的列表。如果重要的话,桌面是 xp 和 win7 的混合。
答案1
据我所知,没有本机组策略工具可以执行此操作,但一个简单的解决方案是使用 Powershell 编写此类修改脚本。
对于给定的计算机,将所有用户从管理员组中删除,将所需用户添加到该组,然后重复此操作。可以安排在服务器上运行并定期重新应用,效果与组策略相同。
我以前也做过类似的事情。我强烈建议你找出用户需要管理员权限的原因。托管 IT 基础设施的原则之一就是剥夺用户完成工作时不需要的权限。
答案2
我希望不会。这样做不太安全。我鼓励用户使用单独的帐户进行需要提升权限的活动。我们使用本地帐户,但这也可能是已添加到本地管理员组的域帐户。
答案3
您还可以使用 GPP(GPO 的首选项部分)将用户添加到本地管理员组。
您可以在顶层创建一个 GPO,并使用 GPP 定位将用户添加到特定计算机的管理组。
如果计算机名称是 XX,则将该用户添加到内置组。
对于 200 个用户,该 GPO 中将有 200 行。
设置需要一些时间,但您可以远程进行。如果用户需要撤销其权限,您可以更改要删除的行中的 GPP 更新选项。
如果您愿意,我可以添加一些屏幕截图。