在我的 AD 中,我有这两个 OU:OU PC 和 OU 用户。OU“用户”中有几个用户,OU“PC”中有几个计算机。我现在需要为其中一个用户编写一个 GPO,该 GPO 会自动将他添加到所有这些计算机上的“本地管理员组”中 - 这些计算机要么已经位于该 OU“PC”中,要么将来会添加。当然,我可以在所有这些 PC 上手动将他设置为本地管理员,但我需要它自动执行此操作。
是否有使用 GPO 来实现此目的的选项或方法?
问候!
答案1
您可以使用以下方式添加本地管理员受限群组,即计算机配置。因此,您可以根据定义,为包含您希望它影响的计算机的 OU 添加此 GPO。
- 在您的 AD 中添加一个新的组对象,例如
DOMAIN\Local Admins其容器不相关。 - 添加新的 GPO“本地管理员”并将其链接到
OU=PC。 - 在计算机配置>政策>Windows 设置>安全设定>受限群组、添加组
DOMAIN\Local Admins - 添加该团体是群组:
Administrators&Remote Desktop Users。
如果您使用不同语言版本的 Windows,管理组名可以不同。在多语言环境中,您可以参考这些通用组由于他们安全标识符(SID):
S-1-5-32-544为了AdministratorsS-1-5-32-555为了BUILTIN\Remote Desktop Users
答案2
纽扣。
您可以使用组策略首选项来更改本地组的成员身份,也可以使用受限组选项来调整本地组的成员身份。以下两个链接将为您提供一些指导。
https://technet.microsoft.com/en-us/library/dn581922(v=ws.11).aspx