一、简介
公司大部分主机加入域已有一段时间了,由于某软件没管理员权限不能执行,所以管理员权限一直没撤销,不能完全实现域的管理效果。但起码实现了域用户脱离不了域的控制:http://www.cnblogs.com/sjy000/p/4713389.html。
撤销管理员后,所有用户加入Power Users组,只有主管仍是Administrators组。Power Users组可以正常访问本地所有资源,不能安装软件、修改注册表、修改TCP/IP、修改计算机等。同事修改计算机设置时,向SA申请,SA使用管理员账号登录后修改;安装软件由SA则使用批处理输入程序的完整路径后开始安装,批处理用的是runas命令,让普通用户以管理员的身份执行程序。软件管理方式还可使用域组策略部署。
另外还有个域组策略脚本执行身份的问题需解决。域组策略脚本是以登录的用户身份执行的,而用户身份只是属于Power Users组,当脚本的命令涉及修改系统设置,就无法生效了。这时还得使用runas命令解决,让原脚本以管理员身份执行。
二、服务器配置
1、域用户撤销本地管理员,禁止本地用户登录
Administrators组成员设为只有域Domain Admins,Power Users与Users组只有Domain Users。
该设置还有额外的效果加成——本地用户无法登录,因为这些用户不再属于这三个本地组了。
2、在客户端执行一次runas,保存管理员的密码
域TEST.COM,管理员账号administrator。
/env选项表示以当前环境运行;/savecred选项表示执行一次后保存密码。
runas /env /savecred /user:TEST\administrator calc.exe
3、runas命令指向域组策略旧的脚本,以管理员身份执行
runas /env /savecred /user:TEST\administrator \\192.168.1.100\bat\old.bat
使用runas后,批处理会弹窗运行,进行下美化。
title XX公司系统管理脚本 color 1F echo 配置中,请勿关闭... 命令>%temp%\result.tmp del %temp%\result.tmp ::隐藏执行结果
4、编写批处理,SA运行、安装软件的工具
输入程序完整路径后执行。
@echo off color 1F title Administrator echo. set /p a=Enter the programme path: runas /env /savecred /user:TEST\administrator %a%
软件Bat To Exe Converter将批处理转换为exe程序,禁止用户查看命令。
三、客户端测试
1、执行一次runas保存管理员密码
2、尝试修改IP、创建账号、修改系统设置、安装软件
3、尝试旧本地管理员账号登录
4、SA使用批处理帮同事安装软件
