我们有一个 AD 域。我们有一个名为 Snowy 的域用户和一个名为 John 的域用户。我是域管理员 Rob。John 的 PC 称为 JOHN-PC。我的 PC 称为 ROB-PC。
我想允许 Snowy 访问 \JOHN-PC\C$,但不允许 \ROB-PC\C$
我意识到我可以登录 JOHN-PC 并将 Snowy 添加到本地管理员组。但是我想允许 Snowy 访问我选择的多台 PC 上的管理员共享,因此我需要在不实际登录 JOHN-PC 或其他 PC 的情况下执行此操作。
我们的 AD 处于 2016 级别,我尝试将 Snowy 添加到各种“高级用户”类型的组(例如密钥管理员),但实际上并没有让他成为域管理员,我不想这样做。没有用。
有没有办法在 AD 中或通过策略来做到这一点?
提前致谢
抢
答案1
嗯,内置的 C$ 共享是“管理共享” - 所以线索就在那里。如果他们真的需要访问那个,那么我认为他们需要加入本地管理员组或类似组。
您可以使用组策略将用户(或组)添加到 PC 的本地组。
或者,您可以在每台电脑上创建他需要访问的文件夹下的特定共享。这是每台电脑上的一项手动任务。
答案2
解决方法是将 Snowy 添加到每台 PC 的本地管理员组中。我通过一个不错的组策略做到了这一点
创建策略并选择“编辑”。由于这需要基于每台计算机应用,因此在组策略管理编辑器控制台中展开“计算机配置”>“首选项”>“控制面板设置”,然后单击“本地用户和组”。如您所见,您还可以在此处配置其他内容,例如快捷方式、打印机、启用或禁用客户端上的服务等,如果您打开“Windows 设置”文件夹,则可以找到更多内容。请随意探索和测试它们,但现在请右键单击“本地用户和组”,然后选择“新建”>“本地组”。如果您想删除、更新/修改客户端上可能存在的某些本地用户,可以使用本地用户选项。您也可以创建它们。
使用组策略首选项配置本地组
在操作下拉框中,您有多个选择。如果您想在客户端上创建一个新的本地组,请选择创建选项,如果您想用您在此处命名的组替换本地组,请选择替换,等等。现在选择更新,然后从组名下拉框中选择要更改的本地组。本地管理员和本地远程桌面用户是最常用的。如果您要更新的组名未在此处列出,您可以输入它,但不要单击省略号按钮并搜索它,因为它将搜索域,而您不希望这样做。
添加 Snowy 但不要替换 - 只需设置为更新
http://www.vkernel.ro/blog/add-domain-users-to-local-groups-using-group-policy-preferences