如何在活动目录 GPO 上为本地用户设置用户权限分配?

如何在活动目录 GPO 上为本地用户设置用户权限分配?

在我工作的地方我们有一个流程,其中对活动目录 GPO 的任何更改都在测试服务器上执行、备份,然后将备份应用于实时 AD。

我正在修改 GPO,我想专门为该 GPO 将应用到的成员服务器上本地存在的用户帐户添加用户权限分配。

我尝试在该用户前面添加单词 BUILTIN,我尝试使用 migtables,我尝试在域上创建用户(但最终尝试将用户权限应用于该名称的域用户(如果存在)..)。

不知道该怎么办,谷歌搜索会出现很多结果,但对于这种情况,这些结果往往没有任何意义(本地、用户、群组、策略都是非常常见的术语)。

有什么建议的方法可以做到这一点吗?

答案1

或许,你可以尝试以下方法:

  1. 本地为用户创建一个单独的组。
  2. 创建 GPO 并在 GPO 中配置受限组以仅适用于步骤 1 中创建的本地组。

组策略限制组的说明

如果你点击以下链接,就会在文章中提到这一点:

受限组是一种客户端配置方法,不能与域组一起使用。受限组专门设计用于与本地组配合使用。

答案2

如果您将在每个成员服务器上使用相同的本地帐户名,则可以在 GPO 中按如下方式输入:

.\localUsername

.\ 符号仅指应用 GPO 中的设置时的本地计算机。它类似于输入 domainName\accountName。

如果您在每台成员服务器上使用不同的帐户名,那么解决方案就不完美了。此方法要求您为每个成员服务器的用户权限分配创建一个唯一的 GPO,或者将所有内容输入一个丑陋(且不太安全)的 GPO 中,如下所示:

server1\localUsername1, server2\localUsername2, server*N*\localUsername*N*

你能做的最好的事首先是创建域服务账户而不是本地账户。

希望这可以帮助。

相关内容