資源描述:
《域加入本地管理員組.doc》由會員上傳分享,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫��。
1���、參考網(wǎng)址(http://blog.sina.com.cn/s/blog_4ca83f830100zn8v.html)3種用組策略將域帳號加入本地管理員組的方法臺灣女同事問了我2次當(dāng)前系統(tǒng)域帳號是怎么在第一次登錄時,自動加入域客戶端本地管理員組的��?我猜不外乎就是腳本�����、計(jì)算機(jī)策略或虛擬機(jī)初始化的自動應(yīng)答腳本�����,結(jié)果系統(tǒng)的前任同事找到了答案--GPO的用戶策略(確切講是用戶首選項(xiàng))�����,SIGN!今天琢磨了一下�,采用下列3種方法之一即可實(shí)現(xiàn):1、對于WIN2003域控制器(DC)環(huán)境��,使用計(jì)算機(jī)策略的“受限制的組”2�����、對于WIN2
2��、008/2008R2(盡可能用R2的DC)的DC環(huán)境,使用用戶配置首選項(xiàng)中“本地用戶和組”.用在將登錄帳號自動加入本地管理員組的場合��。3�����、對于WIN2008/2008R2(盡可能用R2的DC)的DC環(huán)境�,使用計(jì)算機(jī)配置首選項(xiàng)中“本地用戶和組”�,用在將重要的域組加入客戶端本地管理員組的場合���。下面讓我細(xì)細(xì)道來���。第1種方法的步驟很簡單:.在域中創(chuàng)建一個test01g1組帳號���,將要加入本地管理員組的域帳號test01user_1加入g1組.在組策略中在“受限制的組”上右鍵選添加組��,然后把一些元素添入選項(xiàng)�,參照本文第1幅圖.
3�、刷新域客戶機(jī)的組策略��,就可以看到test01g1組被自動加入到本地管理員組了�,如下圖第2種方法:為了避免干擾,我創(chuàng)建了另一個2008R2的域來驗(yàn)證第2種方法����,該域WINXP03客戶機(jī)的初始本地管理員成員如下:為了使GPO“首選項(xiàng)”能作用到客戶端���,需要在域客戶端安裝客戶端擴(kuò)展集組件(CSE),URL為:http://technet.microsoft.com/zh-cn/library/cc731892(WS.10).aspx根據(jù)客戶端OS類型選相應(yīng)組件下載�����,并安裝到WINXP03客戶機(jī)中���,如下圖(XMLLiteXML
4�����、無需安裝):在2008R2上開始設(shè)置GPO的用戶配置項(xiàng)���,按下圖添加對客戶端本地Administrators的操作策略操作中的“更新”代表更新域客戶端Administrators組中的成員,“添加當(dāng)前用戶”是指添加登錄時的域帳號到客戶端本地Administrators組����,只要域帳號一登錄,就把它加入本地管理員組現(xiàn)在用域帳號test02user_1登錄測試一下用戶首選項(xiàng)策略生效�,該帳號被成功加入管理員組接下來看看“刪除所有成員用戶”的結(jié)果換一個test02user_2帳號,顯然�����,已將前面加入的user_1帳號刪除�,還有
5�、其他除administrator以外的用戶帳號被刪除(本地的USER1)然后我們繼續(xù)選刪除所有成員組,并計(jì)劃將本地administrator也從管理員組中刪除其結(jié)果如下:1.所有用戶帳號被從管理員組中刪除��,除當(dāng)前登錄用戶除外�����。這樣多個域用戶帳號登錄同一個客戶端��,只會保留最后一個登錄帳號加入本地管理員�����,這就是咱們要的“動態(tài)”加入的效果���。2.所有組帳號都被從管理員組中刪除,包括DomainAdmins3.administrator帳號是內(nèi)置帳號��,所以怎么設(shè)置都刪除不掉第3種方法:刷新策略就可以看到TEST02Domain
6�����、Admins加入到客戶機(jī)本地管理員組了有關(guān)沖突策略的優(yōu)先級測試:接下來在保持先前用戶首選項(xiàng)的前提下�,把計(jì)算機(jī)首選項(xiàng)也作相同的刪除用戶和組操作,如下圖刷新一下組策略����,test02user_1被刪除,而test02DomainAdmins被加入����,看起來,當(dāng)計(jì)算機(jī)首選項(xiàng)與用戶首選項(xiàng)沖突時����,好象符合組策略的“計(jì)算機(jī)策略優(yōu)先”定律,但是���,且慢...如果再次注銷而用user_1帳號重登錄���,發(fā)現(xiàn)test02DomainAdmins卻又一次被刪除�,這是為什么?答案就是:首選項(xiàng)���,并非強(qiáng)制的��!也就是說�����,不僅客戶端用戶自己可以手動改配
7�����、置(比如手動刪除這里由首選項(xiàng)加入的域帳號)���,而且,后面執(zhí)行的首選項(xiàng)會蓋掉前面的���。這是與組策略中的“策略”設(shè)置是完全不同的����。我們可以再驗(yàn)證一下上述的結(jié)論���。如果我們重啟客戶機(jī)�,然后不登錄域(這樣就不會使用到用戶首選項(xiàng))����,而是登錄本機(jī)(此時僅計(jì)算機(jī)首選項(xiàng)生效)僅計(jì)算機(jī)首選項(xiàng)生效:注銷��,換個域用戶帳號登錄:計(jì)算機(jī)首選項(xiàng)設(shè)置不見了�����,換作用戶首選項(xiàng)設(shè)置最后�,總結(jié)一下:1����、有3種方法可行,如果是03域控�����,用“受限制的組”�����,如果是08R2域控,加組帳號時可以用計(jì)算機(jī)首選項(xiàng)��,加用戶帳號時可以用用戶首選項(xiàng)2��、不要使用Windows2008
8�、域控,要用Windows2008R2域控�,因?yàn)榍罢叽嬖贐UG���,我遇到很多次3、首選項(xiàng)設(shè)置時最好選“更新”操作�,且用戶首選項(xiàng)要同時設(shè)置“刪除所有成員用戶”項(xiàng)�,否則每登錄一個用戶��,就會累加一個本地管理員帳號4���、首選項(xiàng)是非強(qiáng)制性的����,計(jì)算機(jī)首選項(xiàng)優(yōu)先級并不會比用戶首選項(xiàng)來得高,看誰最后執(zhí)行5�����、最好不要同時設(shè)置計(jì)算機(jī)首選項(xiàng)和用戶首選項(xiàng)�����,僅用
