在我工作的地方我们有一个流程,其中对活动目录 GPO 的任何更改都在测试服务器上执行、备份,然后将备份应用于实时 AD。
我正在修改 GPO,我想专门为该 GPO 将应用到的成员服务器上本地存在的用户帐户添加用户权限分配。
我尝试在该用户前面添加单词 BUILTIN,我尝试使用 migtables,我尝试在域上创建用户(但最终尝试将用户权限应用于该名称的域用户(如果存在)..)。
不知道该怎么办,谷歌搜索会出现很多结果,但对于这种情况,这些结果往往没有任何意义(本地、用户、群组、策略都是非常常见的术语)。
有什么建议的方法可以做到这一点吗?
答案1
或许,你可以尝试以下方法:
- 本地为用户创建一个单独的组。
- 创建 GPO 并在 GPO 中配置受限组以仅适用于步骤 1 中创建的本地组。
如果你点击以下链接,就会在文章中提到这一点:
受限组是一种客户端配置方法,不能与域组一起使用。受限组专门设计用于与本地组配合使用。
答案2
如果您将在每个成员服务器上使用相同的本地帐户名,则可以在 GPO 中按如下方式输入:
.\localUsername
.\ 符号仅指应用 GPO 中的设置时的本地计算机。它类似于输入 domainName\accountName。
如果您在每台成员服务器上使用不同的帐户名,那么解决方案就不完美了。此方法要求您为每个成员服务器的用户权限分配创建一个唯一的 GPO,或者将所有内容输入一个丑陋(且不太安全)的 GPO 中,如下所示:
server1\localUsername1, server2\localUsername2, server*N*\localUsername*N*
你能做的最好的事首先是创建域服务账户而不是本地账户。
希望这可以帮助。