遇到的小伙伴多了,就会发现小伙伴需求真是各种各样,就像客户端加入域一样,有的客户就要求,加入域之后,此员工的域账号自动加入本地管理员组;也有客户要求,加入域后,此员工的域账号只能是受限制的普通USER,不能有任何多余的权限,包含修改网络配置等。好吧,用户的需求都是有道理的。下面,咱们就来看一下,如何实现加入域之后,自动加入到本地管理员组。
我们的Server01是一台域控制器,然后再找一台Win8.1做客户机,至于说如何升级域控制器,在此就不再描述了,网上的资料一大把。至于把域用户加入本地管理员组,使用的就是:用户配置首选项中“本地用户和组”。用于将登录帐号自动加入本地管理员组的场合。或者是使用计算机配置首选项中“本地用户和组”,用在将重要的域组加入客户端本地管理员组。
我们看一下具体设置:
使得用户配置首选项“本地用户和组”将登录账号自动加入本地管理员组
登录到域控制器,打开基于域的策略-----用户配置---首选项---控制面板设置---本地用户和组,以下图所示:
在右侧空白处,新建本地组,如下图所示:
因为是要修改客户端计算机上的本地组信息,所以选择新建本地组。
操作中的“更新”代表更新域客户端Administrators组中的成员,而不是新建组;“添加当前用户”表示添加登录时的域帐号到客户端系统的本地Administrators组,只要域帐号一登录,就把它加入本地管理员组,也可以同时选中右边的“删除所有成员用户”或者是删除所有成员组,意思是将当前登录的用户加入到本地管理员组的时候,删除其他成员用户或者是组,以起到动态加入管理员组的效果,也就是始终保持最近登录的用户是在管理员组中,其他用户删除,但是需要注意,。在此我们不选择,先看一下效果。
我们到Win8.1上进行登录,查看当前用户有没有加入到管理员组,注意,因为我这里是客户的一个真实POC环境里,我就把一些敏感信息马赛克了。
登录成功之后,我们去打开此客户机的本地用户和组,双击打开 administrators组,可以看到下面的界面,明白人不用细说:
实验成功了!此时,此登录的用记及是管理员了,权限大大的,什么修改网络配置、安装软件、卸载软件、修改系统配置,统统都是张飞吃豆芽!如果想只保留当前用户,而删除其他用户,则如下图所示的操作:
当然,不必像我图中做的这么惨忍,domain admins还是可以保留的。然后,客户端重新登录,再次打开adminstrators查看,如下图所示:
但是注意,此场景只适合于Win7及以后的操作系统,像XP/2003等需要安装插件,以使用“首选项”功能生效,下载地址:https://technet.microsoft.com/zh-cn/library/cc731892(WS.10).aspx
估计大家是用不到了,毕竟都已经是两个退役的产品了。另外一点,就是如果是希望将某个组都加入到本地管理员组,则建议使用计算机配置下的“本地用户和组”功能。