資源描述:
《域加入本地管理員組》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1、參考網(wǎng)址(http://blog.sina.com.cn/s/blog_4ca83f830100zn8v.html)3種用組策略將域帳號加入本地管理員組的方法臺灣女同事問了我2次當(dāng)前系統(tǒng)域帳號是怎么在第一次登錄時,自動加入域客戶端本地管理員組的?我猜不外乎就是腳本、計算機策略或虛擬機初始化的自動應(yīng)答腳本,結(jié)果系統(tǒng)的前任同事找到了答案--GPO的用戶策略(確切講是用戶首選項),SIGN!今天琢磨了一下,采用下列3種方法之一即可實現(xiàn):1、對于WIN2003域控制器(DC)環(huán)境,使用計算機策略的“受限制的組”2、對于WIN2
2、008/2008R2(盡可能用R2的DC)的DC環(huán)境,使用用戶配置首選項中“本地用戶和組”.用在將登錄帳號自動加入本地管理員組的場合。3、對于WIN2008/2008R2(盡可能用R2的DC)的DC環(huán)境,使用計算機配置首選項中“本地用戶和組”,用在將重要的域組加入客戶端本地管理員組的場合。下面讓我細細道來。第1種方法的步驟很簡單:.在域中創(chuàng)建一個test01g1組帳號,將要加入本地管理員組的域帳號test01user_1加入g1組.在組策略中在“受限制的組”上右鍵選添加組,然后把一些元素添入選項,參照本文第1幅圖.
3、刷新域客戶機的組策略,就可以看到test01g1組被自動加入到本地管理員組了,如下圖第2種方法:為了避免干擾,我創(chuàng)建了另一個2008R2的域來驗證第2種方法,該域WINXP03客戶機的初始本地管理員成員如下:為了使GPO“首選項”能作用到客戶端,需要在域客戶端安裝客戶端擴展集組件(CSE),URL為:http://technet.microsoft.com/zh-cn/library/cc731892(WS.10).aspx根據(jù)客戶端OS類型選相應(yīng)組件下載,并安裝到WINXP03客戶機中,如下圖(XMLLiteXML
4、無需安裝):在2008R2上開始設(shè)置GPO的用戶配置項,按下圖添加對客戶端本地Administrators的操作策略操作中的“更新”代表更新域客戶端Administrators組中的成員,“添加當(dāng)前用戶”是指添加登錄時的域帳號到客戶端本地Administrators組,只要域帳號一登錄,就把它加入本地管理員組現(xiàn)在用域帳號test02user_1登錄測試一下用戶首選項策略生效,該帳號被成功加入管理員組接下來看看“刪除所有成員用戶”的結(jié)果換一個test02user_2帳號,顯然,已將前面加入的user_1帳號刪除,還有
5、其他除administrator以外的用戶帳號被刪除(本地的USER1)然后我們繼續(xù)選刪除所有成員組,并計劃將本地administrator也從管理員組中刪除其結(jié)果如下:1.所有用戶帳號被從管理員組中刪除,除當(dāng)前登錄用戶除外。這樣多個域用戶帳號登錄同一個客戶端,只會保留最后一個登錄帳號加入本地管理員,這就是咱們要的“動態(tài)”加入的效果。2.所有組帳號都被從管理員組中刪除,包括DomainAdmins3.administrator帳號是內(nèi)置帳號,所以怎么設(shè)置都刪除不掉第3種方法:刷新策略就可以看到TEST02Domain
6、Admins加入到客戶機本地管理員組了有關(guān)沖突策略的優(yōu)先級測試:接下來在保持先前用戶首選項的前提下,把計算機首選項也作相同的刪除用戶和組操作,如下圖刷新一下組策略,test02user_1被刪除,而test02DomainAdmins被加入,看起來,當(dāng)計算機首選項與用戶首選項沖突時,好象符合組策略的“計算機策略優(yōu)先”定律,但是,且慢...如果再次注銷而用user_1帳號重登錄,發(fā)現(xiàn)test02DomainAdmins卻又一次被刪除,這是為什么?答案就是:首選項,并非強制的!也就是說,不僅客戶端用戶自己可以手動改配
7、置(比如手動刪除這里由首選項加入的域帳號),而且,后面執(zhí)行的首選項會蓋掉前面的。這是與組策略中的“策略”設(shè)置是完全不同的。我們可以再驗證一下上述的結(jié)論。如果我們重啟客戶機,然后不登錄域(這樣就不會使用到用戶首選項),而是登錄本機(此時僅計算機首選項生效)僅計算機首選項生效:注銷,換個域用戶帳號登錄:計算機首選項設(shè)置不見了,換作用戶首選項設(shè)置最后,總結(jié)一下:1、有3種方法可行,如果是03域控,用“受限制的組”,如果是08R2域控,加組帳號時可以用計算機首選項,加用戶帳號時可以用用戶首選項2、不要使用Windows2008
8、域控,要用Windows2008R2域控,因為前者存在BUG,我遇到很多次3、首選項設(shè)置時最好選“更新”操作,且用戶首選項要同時設(shè)置“刪除所有成員用戶”項,否則每登錄一個用戶,就會累加一個本地管理員帳號4、首選項是非強制性的,計算機首選項優(yōu)先級并不會比用戶首選項來得高,看誰最后執(zhí)行5、最好不要同時設(shè)置計算機首選項和用戶首選項,僅用