資源描述:
《域加入本地管理員組》由會(huì)員上傳分享,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)����。
1�、參考網(wǎng)址(http://blog.sina.com.cn/s/blog_4ca83f830100zn8v.html)3種用組策略將域帳號(hào)加入本地管理員組的方法臺(tái)灣女同事問(wèn)了我2次當(dāng)前系統(tǒng)域帳號(hào)是怎么在第一次登錄時(shí),自動(dòng)加入域客戶端本地管理員組的?我猜不外乎就是腳本����、計(jì)算機(jī)策略或虛擬機(jī)初始化的自動(dòng)應(yīng)答腳本,結(jié)果系統(tǒng)的前任同事找到了答案--GPO的用戶策略(確切講是用戶首選項(xiàng))����,SIGN!今天琢磨了一下,采用下列3種方法之一即可實(shí)現(xiàn):1�����、對(duì)于WIN2003域控制器(DC)環(huán)境����,使用計(jì)算機(jī)策略的“受限制的組”2、對(duì)于W
2���、IN2008/2008R2(盡可能用R2的DC)的DC環(huán)境���,使用用戶配置首選項(xiàng)中“本地用戶和組”.用在將登錄帳號(hào)自動(dòng)加入本地管理員組的場(chǎng)合。3���、對(duì)于WIN2008/2008R2(盡可能用R2的DC)的DC環(huán)境���,使用計(jì)算機(jī)配置首選項(xiàng)中“本地用戶和組”�,用在將重要的域組加入客戶端本地管理員組的場(chǎng)合��。下面讓我細(xì)細(xì)道來(lái)�����。第1種方法的步驟很簡(jiǎn)單:.在域中創(chuàng)建一個(gè)test01g1組帳號(hào)�,將要加入本地管理員組的域帳號(hào)test01user_1加入g1組.在組策略中在“受限制的組”上右鍵選添加組,然后把一些元素添入選項(xiàng)���,參照本
3����、文第1幅圖.刷新域客戶機(jī)的組策略��,就可以看到test01g1組被自動(dòng)加入到本地管理員組了�����,如下圖第2種方法:為了避免干擾���,我創(chuàng)建了另一個(gè)2008R2的域來(lái)驗(yàn)證第2種方法�,該域WINXP03客戶機(jī)的初始本地管理員成員如下:為了使GPO“首選項(xiàng)”能作用到客戶端�����,需要在域客戶端安裝客戶端擴(kuò)展集組件(CSE)��,URL為:http://technet.microsoft.com/zh-cn/library/cc731892(WS.10).aspx根據(jù)客戶端OS類型選相應(yīng)組件下載�����,并安裝到WINXP03客戶機(jī)中��,如下圖(X
4�、MLLiteXML無(wú)需安裝):在2008R2上開始設(shè)置GPO的用戶配置項(xiàng),按下圖添加對(duì)客戶端本地Administrators的操作策略操作中的“更新”代表更新域客戶端Administrators組中的成員���,“添加當(dāng)前用戶”是指添加登錄時(shí)的域帳號(hào)到客戶端本地Administrators組�,只要域帳號(hào)一登錄����,就把它加入本地管理員組現(xiàn)在用域帳號(hào)test02user_1登錄測(cè)試一下用戶首選項(xiàng)策略生效,該帳號(hào)被成功加入管理員組接下來(lái)看看“刪除所有成員用戶”的結(jié)果換一個(gè)test02user_2帳號(hào)����,顯然��,已將前面加入的u
5�、ser_1帳號(hào)刪除����,還有其他除administrator以外的用戶帳號(hào)被刪除(本地的USER1)然后我們繼續(xù)選刪除所有成員組,并計(jì)劃將本地administrator也從管理員組中刪除其結(jié)果如下:1.所有用戶帳號(hào)被從管理員組中刪除�����,除當(dāng)前登錄用戶除外�����。這樣多個(gè)域用戶帳號(hào)登錄同一個(gè)客戶端��,只會(huì)保留最后一個(gè)登錄帳號(hào)加入本地管理員�����,這就是咱們要的“動(dòng)態(tài)”加入的效果��。2.所有組帳號(hào)都被從管理員組中刪除���,包括DomainAdmins3.administrator帳號(hào)是內(nèi)置帳號(hào)��,所以怎么設(shè)置都刪除不掉第3種方法:刷新策略就可以
6�、看到TEST02DomainAdmins加入到客戶機(jī)本地管理員組了有關(guān)沖突策略的優(yōu)先級(jí)測(cè)試:接下來(lái)在保持先前用戶首選項(xiàng)的前提下�,把計(jì)算機(jī)首選項(xiàng)也作相同的刪除用戶和組操作,如下圖刷新一下組策略�,test02user_1被刪除,而test02DomainAdmins被加入�,看起來(lái),當(dāng)計(jì)算機(jī)首選項(xiàng)與用戶首選項(xiàng)沖突時(shí)�����,好象符合組策略的“計(jì)算機(jī)策略優(yōu)先”定律�,但是,且慢...如果再次注銷而用user_1帳號(hào)重登錄�,發(fā)現(xiàn)test02DomainAdmins卻又一次被刪除,這是為什么�?答案就是:首選項(xiàng),并非強(qiáng)制的����!也就
7、是說(shuō)��,不僅客戶端用戶自己可以手動(dòng)改配置(比如手動(dòng)刪除這里由首選項(xiàng)加入的域帳號(hào))�,而且��,后面執(zhí)行的首選項(xiàng)會(huì)蓋掉前面的�����。這是與組策略中的“策略”設(shè)置是完全不同的�����。我們可以再驗(yàn)證一下上述的結(jié)論����。如果我們重啟客戶機(jī)�����,然后不登錄域(這樣就不會(huì)使用到用戶首選項(xiàng))���,而是登錄本機(jī)(此時(shí)僅計(jì)算機(jī)首選項(xiàng)生效)僅計(jì)算機(jī)首選項(xiàng)生效:注銷�����,換個(gè)域用戶帳號(hào)登錄:計(jì)算機(jī)首選項(xiàng)設(shè)置不見了,換作用戶首選項(xiàng)設(shè)置最后���,總結(jié)一下:1�����、有3種方法可行��,如果是03域控��,用“受限制的組”����,如果是08R2域控,加組帳號(hào)時(shí)可以用計(jì)算機(jī)首選項(xiàng)��,加用戶帳號(hào)時(shí)可以用用
8��、戶首選項(xiàng)2�����、不要使用Windows2008域控�,要用Windows2008R2域控,因?yàn)榍罢叽嬖贐UG����,我遇到很多次3����、首選項(xiàng)設(shè)置時(shí)最好選“更新”操作��,且用戶首選項(xiàng)要同時(shí)設(shè)置“刪除所有成員用戶”項(xiàng)����,否則每登錄一個(gè)用戶,就會(huì)累加一個(gè)本地管理員帳號(hào)4�、首選項(xiàng)是非強(qiáng)制性的,計(jì)算機(jī)首選項(xiàng)優(yōu)先級(jí)并不會(huì)比用戶首選項(xiàng)來(lái)得高�,看誰(shuí)最后執(zhí)行5、最好不要同時(shí)設(shè)置計(jì)算機(jī)首選項(xiàng)和用戶首選項(xiàng)����,僅用
