题 本地管理员用户通过GPO


我有一个Windows 2008R2 DC(刚设置),我们已经有大约25个Windows 7专业/终极客户端,我们现在将加入我们的新域/ DC。用户已经在使用这些计算机,并且是该计算机上的本地管理员。

我想通过GPO部署一个USER,它可以在每个LOCAL Windows 7框上创建,并具有本地管理员权限或域用户,该域用户在域上的每台PC上都拥有LOCAL管理员权限(Windows XP,7)。

如果有人可以为此提供帮助,我将不胜感激 - 我确实尝试过我自己创建一个用户,但它不会被创建,我使用了 Computer Settings GPO中的组编辑以创建用户。

感谢阅读 - 期待您的指导 Rihatum


8
2018-06-17 15:39






答案:


我的第一个建议是你将这些管理员权限从用户手中夺走。它会让你的生活变得更加轻松。太容易了!当用户是管理员时,用户往往会非常困扰他们的计算机...病毒,间谍软件,工具栏,垃圾免费软件,更改此设置,删除此文件......只是不处理它。

话虽如此,如果您真的必须授予用户管理员权限,您可以轻松地创建一个域用户,该用户在每台PC上具有本地管理员权限。首先在AD中创建用户。然后创建组策略并将其应用于所有工作站。在此组策略中深入研究:

计算机配置 - >策略 - > Windows设置 - >安全设置 - >受限制的组

添加新的受限制的组,并确保Domain Admins和您刚刚创建的用户是其成员。这将不允许您将任何其他本地管理员添加到这些计算机,但只会完成您想要做的事情。


9
2018-06-17 15:48



嗨Jason,感谢您的回复,有没有办法通过GPO删除客户端工作站上的任何现有本地管理员用户?然后将我的本地管理员gpo应用到客户端计算机上?另外,如果用于例如直流电压下降,本地用户(我们将通过GPO创建)仍然可以在本地访问本机吗?谢谢 - rihatum


其他答案很好地介绍了它,但我只是提到组策略客户端首选项是管理本地用户和组的另一个好选择,与受限制的组相比具有更大的灵活性(但客户端兼容性更低)。


4
2018-06-17 18:10



注意:它应该作为常规更新的一部分安装,但XP客户端需要一个补丁来允许使用客户端首选项。 - Holocryptic
嗨@Holocryptic,NB意味着什么..? - daisy
@ warl0ck en.wikipedia.org/wiki/Nota_bene - Holocryptic


http://www.windowsecurity.com/articles/using-restricted-groups.html

应该使用安全原则。创建桌面管理员组,将用户添加到此组,然后将其添加到受限制的组。


3
2018-06-17 15:53