如何通过组策略将指定用户加入本地计算机管理员组

简介:

企业里面如果使用AD进行人员和计算机的管理,企业中一般会设定一个Helpdesk的职位,是公司的IT人员,负责公司员工计算机的日常问题,在很多情况下需要Helpdesk对计算机具有本地管理员权限才能对计算机的软件、系统之类的进行设置,所以我们需要在AD的组策略中设置将Helpdesk用户加入到所有员工计算机的Administrators组中。

我们为保证服务器的安全禁止Helpdesk用户远程连接服务器,禁止其对服务器计算机的管理员身份,所以禁止将Helpdesk用户组加入到服务器的Administrators组中。但是另外一个问题就是公司的服务器也是在域中的,服务器计算机会和员工的计算机都在同一个OU下,而且对AD中的所有计算机OU进行调整可能会出现相关的业务系统发生错误的情况(好像调整服务器OU,Exchange服务会出错),所以OU也不能调整。那么这个该怎么实现这个限制呢?

比较简单有效的方法是对整个域用户设置一个组策略,该组策略实现将Helpdesk用户组添加到本地计算机中,同时对该组策略的安全作出限制,对所有服务器计算机deny其“应用组策略”。具体操作是这样的:

(1)在AD中新建Helpdesk用户组,添加相关的Helpdesk用户,新建ServerComputer组,将所有的服务器添加到该组中。

(2)在DC上打开“AD用户和计算机”,打开域的属性窗口,在组策略选项卡中单击“打开”按钮打开组策略管理,

image

新建一个组策略Helpdesk,并将该组策略链接到域上,对所有域用户生效,如图:

image

(3)右击“Helpdesk”,在弹出式菜单中选择“编辑”,那么就可以弹出我们熟悉的组策略编辑器了。

(4)依次展开“计算机设置”、“Windows设置”、“安全设置”、“受限制的组”,然后新建组“Helpdesk”,这个组隶属于“Administrators”组,如图:

image

这样设置后所有域中的计算机在应用策略后都会将Helpdesk组添加到本地的Administrators组中。

(5)右击左侧控制栏的“Helpdesk[xxx.com]策略”,在弹出式菜单中选择“属性”选项,并切换到安全选项卡,添加服务器计算机组ServerComputer,然后在下面的权限中设置其拒绝应用组策略。

image

(6)“确定”,完成组策略的设置。这个时候在员工计算机上运行gpupdate /force可以强制马上刷新组策略,看到Helpdesk已经添加到Administrators组中。但是现在如果登录服务器也可以看到,Helpdesk也会被加入到Administrators组中,为什么呢?

因为计算机被加入到组中后计算机如果没有重启,那么他是不知道自己在这个组中的,所以组中的计算机必须重启!重启后就可以看到Helpdesk是不会被添加到Administrators组中的。

服务器需要24小时运行,不允许重启怎么办?可以将服务器一台一台的添加到(5)步中的安全控制中,分别对每一台计算机设置拒绝应用组策略即可。

【说明:为什么有些人在DC服务器上打开的组策略管理不是(2)中的截图那样的呢?那是因为需要安装GPMC,参见http://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpmcinad.mspx

目录
相关文章
|
Kubernetes 调度 Docker
深入探讨容器编排技术:从Docker到Kubernetes
容器编排在现代IT中日益关键,从Docker到Kubernetes,助力应用的自动化部署和扩展。Docker提供容器技术,打包应用及环境为镜像,通过引擎、镜像、容器、网络和存储组件实现隔离运行。Kubernetes作为高级容器编排平台,管理Pod(多容器集合),其核心包括API服务器、控制器管理器、调度器和Kubelet。Kubernetes集群由Master和Worker节点构成,实现Pod的高效调度和运行。
|
Prometheus Cloud Native 网络协议
prometheus专题—(十三) proemetheus多实例采集
文档:https://prometheus.io/docs/guides/multi-target-exporter/
1006 0
prometheus专题—(十三) proemetheus多实例采集
|
10月前
|
人工智能 Java 关系型数据库
Red Hat Enterprise Linux 9.5 发布下载,新增功能亮点概述
Red Hat Enterprise Linux 9.5 发布下载,新增功能亮点概述
567 4
Red Hat Enterprise Linux 9.5 发布下载,新增功能亮点概述
|
Prometheus 监控 Cloud Native
使用mysqld_exporter监控所有MySQL实例
使用mysqld_exporter监控所有MySQL实例
1141 2
|
Linux
Linux 目录 rc0.d 是干什么的
【6月更文挑战第22天】Linux 目录 rc0.d 是干什么的
522 55
|
安全 Linux 数据安全/隐私保护
Linux强制修改用户密码
【9月更文挑战第21天】在 Linux 系统中,可使用以下方法强制修改用户密码:1. 使用 `passwd` 命令,以 root 身份运行 `passwd username` 修改密码,加 `-f` 选项可跳过复杂度检查;2. 使用 `chpasswd` 命令,通过文本文件批量设置密码;3. 结合 `usermod -e 0 username` 和 `chpasswd` 强制用户下次登录时更改密码。注意操作时需确保安全性与合理性。
1368 4
|
JSON Kubernetes Linux
k8s备份恢复实践--velero
使用Velero备份k8资源到minio,阿里云oss,七牛云Kodo
587 8
|
机器学习/深度学习 算法 Unix
循环编码:时间序列中周期性特征的一种常用编码方式
循环编码是深度学习中处理周期性数据的一种技术,常用于时间序列预测。它将周期性特征(如小时、日、月)转换为网络可理解的形式,帮助模型识别周期性变化。传统的one-hot编码将时间特征转换为分类特征,而循环编码利用正弦和余弦转换,保持时间顺序信息。通过将时间戳转换为弧度并应用sin和cos,每个原始特征只映射到两个新特征,减少了特征数量。这种方法在神经网络中有效,但在树模型中可能需谨慎使用。
1385 5
|
运维 监控 网络协议
heatbeat各种场景的备用配置
heatbeat各种场景的备用配置