我的方法(组策略-登录脚本),方法不是很好有许多地方需要改进,大家快来扔鸡蛋、蕃茄吧!
我们有两个问题将面对:
1:如何将domain users 加到客户机本地的power users
大家一般常用的方法是:用管理员帐号登录,然后用lusrmgr.msc-组-power users-添加,熟悉命令的管理员一般用net localgroup "power users" "domainname\domain users" /add来操作。
2:快速加入
为什么要快速加入呢,当你管理成百上千台电脑时,难道你还能悠闲地跑到对方电脑面前按步就班来操作?等你这样来完成任务时,黄花菜早就凉了。怎么办呢?
以前在DOS下要批量或者自动执行某个命令时,我们喜欢编一个bat文件,比如将要操作的命令写到autoexec.bat里,这样就可以随系统启动自动执行,这次我们可不可以也用bat文件来搞定呢,当然可以,只要将net localgroup "power users" "domainname\domain users" /add加到bat文件里,运行这个bat文件就会将domain users 加到power users中,如何让几百台电脑登录时都来自动执行这个bat文件呢?就要用到下面的组策略有关功能。
我们知道自2K以后的操作系统有了组策略功能(你不要来说XP HOME怎么没有,存心跟我抬杠是不是),组策略里许多选项使我们只需用鼠标点来点去就可以轻松完成许多复杂的设置,其中的“用户配置-windows设置-脚本-登录”正适合,只要我们将登录脚本设成上面那个bat文件,这样当被设置的该脚本的帐号登录时,就会自动执行net localgroup "power users" "domainname\domain users" /add这条命令。
到了这里,大家似乎觉得问题已经解决了,可以收工,但事实并没有这么简单,为何,因为能成功执行net localgroup "power users" "domainname\domain users" /add这条命令的帐号起码要是power users中的成员,而domain users登录到系统时是本地的users,登录时执行这个脚本将会出现拒绝访问之类的提示。此时问题就开始让人头疼了,我设想过在DC里先将domain users的帐号提升到domain admins,这样用户登录时脚本能成功执行了,但现在用户的权限太大了,慎有不重将会给整个网络带来灾难,如果不给这个权限呢脚本又无法执行,郁闷呀!能不能让用户登录时成功这个执行脚本,又不会对网络带来麻烦或者尽可能地减少潜在的威胁,我想了一个自己认为能接受的方法:
建一个临时的管理员帐号A(要设置帐号A的登录时间和在服务器上的权限,最好在统一使用后将其停用)。给A的登录脚本加两上命令:
copy \\server\admin$\system32\shutdown.exe c:\winnt\system32(如果你系统目录不一至请更改)
net localgroup "power users" "domainname\domain users" /add
shutdown /l
有网友可能就会感到奇怪,你这两条命令是干什么的?第一条是从服务器里将shutdown.exe复制到客户机上(服务器系统如果为2003,客户机系统为XP则不必加这条命令了,服务器和客户机均为2K的话则需要此命令,且还要将XP或者2003中的shutdown.exe事先复制到服务器中),第二条就不必说了,第三条意思就是“注销“,将三条命令连起来解释就是:复制shutdown.exe然后执行加入组这个命令再强行注销,这样有什么好处呢:
1:成功完成加入组这个命令
2:由于A帐号有管理员权限,它对网络有潜在的危险,不能让下面的用户随便在本地上登录来搞破坏,下面用户用A登录系统时脚本自动执行,达到我的目的后强制注销,此过程只需几秒钟,用户根本无法做其它事系统又重新回到登录界面了。
设置好上面这些后,我们就可以通知下面的客户第一次登录时请用A帐号,当用A帐号登录注销后再用各自的帐号登录,这样客户用自己帐号登录时就已经在本地的power users了,就有一定的权限使用之前无法用的软件,比如:金山词霸之类的了。这里顺便说说通知方法:1:书面通知
2:域组策略的“交互式登录”文字(强烈推荐,大致说一下设置:组策略-计算机配置-windows设置-安全选项-交互式登录-用户试图登录时消息....,设置好后,用户每次登录时自动弹出通知)
到了这里,终于JJYY完了,但还是有许多不完善的地方,欢迎各位兄弟继续讨论!
1:如何将domain users 加到客户机本地的power users
大家一般常用的方法是:用管理员帐号登录,然后用lusrmgr.msc-组-power users-添加,熟悉命令的管理员一般用net localgroup "power users" "domainname\domain users" /add来操作。
2:快速加入
为什么要快速加入呢,当你管理成百上千台电脑时,难道你还能悠闲地跑到对方电脑面前按步就班来操作?等你这样来完成任务时,黄花菜早就凉了。怎么办呢?
以前在DOS下要批量或者自动执行某个命令时,我们喜欢编一个bat文件,比如将要操作的命令写到autoexec.bat里,这样就可以随系统启动自动执行,这次我们可不可以也用bat文件来搞定呢,当然可以,只要将net localgroup "power users" "domainname\domain users" /add加到bat文件里,运行这个bat文件就会将domain users 加到power users中,如何让几百台电脑登录时都来自动执行这个bat文件呢?就要用到下面的组策略有关功能。
我们知道自2K以后的操作系统有了组策略功能(你不要来说XP HOME怎么没有,存心跟我抬杠是不是),组策略里许多选项使我们只需用鼠标点来点去就可以轻松完成许多复杂的设置,其中的“用户配置-windows设置-脚本-登录”正适合,只要我们将登录脚本设成上面那个bat文件,这样当被设置的该脚本的帐号登录时,就会自动执行net localgroup "power users" "domainname\domain users" /add这条命令。
到了这里,大家似乎觉得问题已经解决了,可以收工,但事实并没有这么简单,为何,因为能成功执行net localgroup "power users" "domainname\domain users" /add这条命令的帐号起码要是power users中的成员,而domain users登录到系统时是本地的users,登录时执行这个脚本将会出现拒绝访问之类的提示。此时问题就开始让人头疼了,我设想过在DC里先将domain users的帐号提升到domain admins,这样用户登录时脚本能成功执行了,但现在用户的权限太大了,慎有不重将会给整个网络带来灾难,如果不给这个权限呢脚本又无法执行,郁闷呀!能不能让用户登录时成功这个执行脚本,又不会对网络带来麻烦或者尽可能地减少潜在的威胁,我想了一个自己认为能接受的方法:
建一个临时的管理员帐号A(要设置帐号A的登录时间和在服务器上的权限,最好在统一使用后将其停用)。给A的登录脚本加两上命令:
copy \\server\admin$\system32\shutdown.exe c:\winnt\system32(如果你系统目录不一至请更改)
net localgroup "power users" "domainname\domain users" /add
shutdown /l
有网友可能就会感到奇怪,你这两条命令是干什么的?第一条是从服务器里将shutdown.exe复制到客户机上(服务器系统如果为2003,客户机系统为XP则不必加这条命令了,服务器和客户机均为2K的话则需要此命令,且还要将XP或者2003中的shutdown.exe事先复制到服务器中),第二条就不必说了,第三条意思就是“注销“,将三条命令连起来解释就是:复制shutdown.exe然后执行加入组这个命令再强行注销,这样有什么好处呢:
1:成功完成加入组这个命令
2:由于A帐号有管理员权限,它对网络有潜在的危险,不能让下面的用户随便在本地上登录来搞破坏,下面用户用A登录系统时脚本自动执行,达到我的目的后强制注销,此过程只需几秒钟,用户根本无法做其它事系统又重新回到登录界面了。
设置好上面这些后,我们就可以通知下面的客户第一次登录时请用A帐号,当用A帐号登录注销后再用各自的帐号登录,这样客户用自己帐号登录时就已经在本地的power users了,就有一定的权限使用之前无法用的软件,比如:金山词霸之类的了。这里顺便说说通知方法:1:书面通知
2:域组策略的“交互式登录”文字(强烈推荐,大致说一下设置:组策略-计算机配置-windows设置-安全选项-交互式登录-用户试图登录时消息....,设置好后,用户每次登录时自动弹出通知)
到了这里,终于JJYY完了,但还是有许多不完善的地方,欢迎各位兄弟继续讨论!
本文转自 wuqingying 51CTO博客,原文链接:http://blog.51cto.com/carywu/9364,如需转载请自行联系原作者
