我有几台开发机器,我是它们的管理员。我们在我的组织中使用 AD,但它由离岸 IT 团队维护,任何请求都需要很长时间。
我们目前手动授予开发人员在开发机器上的访问权限,因此维护起来有点麻烦,尽管至少它很快。我们还有许多外部顾问需要使用这些机器一段时间。
是否有任何工具或方法可以维护这些机器上的一组用户同步,而无需将他们添加到 AD 组?
答案1
是的,就您所描述的情况而言,手动工作或编写脚本。问题在于,如果主要组使用 AD 中的受限组之类的东西(他们可能应该这样做),每次刷新 GPO 时,您的手动更改都会被清除。
你应该要做的就是获取 GPO,将某个安全组添加到某个 Windows 计算机组的本地管理员,然后让您成为该组的管理员,以便您可以根据需要添加/删除其中的成员。工具都在那里;以正确的方式使用它们。
答案2
如果你已经有一个具有本地管理员权限的用户,那么你可以创建一个脚本,在每台计算机上创建本地用户,并将其放入每天运行的计划任务中。使用脚本中的“net user”命令。
注意——如果最终用户在我管理的网络中这样做,我会尽一切可能让他们离开。但我的员工会响应您的请求。
这最好的解决方案是要求中央 IT 部门提供以下信息:
- 名为“Guillems 部门的本地管理员”的安全组
- 创建一个 GPO,将该组放入部门中每台 PC 上的“管理员”组中。
- 委托您管理该组中的成员的权限。
如果他们的 AD 组织得当,这些应该只需要一个优秀的管理员大约 10 分钟就可以完成。但是中央 IT,尤其是按小时或按请求支付报酬的离岸中央 IT,不愿意将他们可以付费完成的任务委托给他人。
祝你好运。