三种用组策略将域帐户加入本地管理员组的方法

简介:

采用下列3种方法之一即可实现:

1、对于WIN2003域控制器(DC)环境,使用计算机策略的“受限制的组”

3种用组策略将域帐号加入本地管理员组的方法

 

2、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。
3种用组策略将域帐号加入本地管理员组的方法

3、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用计算机配置首选项中“本地用户和组”,用在将重要的域组加入客户端本地管理员组的场合。
3种用组策略将域帐号加入本地管理员组的方法

 

下面让我细细道来。

第1种方法的步骤很简单:

.在域中创建一个test01\g1组帐号,将要加入本地管理员组的域帐号test01\user_1加入g1组

.在组策略中在“受限制的组”上右键选添加组,然后把一些元素添入选项,参照本文第1幅图

.刷新域客户机的组策略,就可以看到test01\g1组被自动加入到本地管理员组了,如下图
3种用组策略将域帐号加入本地管理员组的方法

 

第2种方法:

为了避免干扰,我创建了另一个2008R2的域来验证第2种方法,该域WINXP03客户机的初始本地管理员成员如下:
3种用组策略将域帐号加入本地管理员组的方法

为了使GPO“首选项”能作用到客户端,需要在域客户端安装客户端扩展集组件(CSE),URL为:

http://technet.microsoft.com/zh-cn/library/cc731892(WS.10).aspx

根据客户端OS类型选相应组件下载,并安装到WINXP03客户机中,如下图(XMLLite XML无需安装):
3种用组策略将域帐号加入本地管理员组的方法

在2008R2上开始设置GPO的用户配置项,按下图添加对客户端本地Administrators的操作策略
3种用组策略将域帐号加入本地管理员组的方法

操作中的“更新”代表更新域客户端Administrators组中的成员,“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组,只要域帐号一登录,就把它加入本地管理员组3种用组策略将域帐号加入本地管理员组的方法

现在用域帐号test02\user_1登录测试一下
3种用组策略将域帐号加入本地管理员组的方法

用户首选项策略生效,该帐号被成功加入管理员组

3种用组策略将域帐号加入本地管理员组的方法

接下来看看“删除所有成员用户”的结果
3种用组策略将域帐号加入本地管理员组的方法

 换一个test02\user_2帐号,显然,已将前面加入的user_1帐号删除,还有其他除administrator以外的用户帐号被删除(本地的USER1) 
3种用组策略将域帐号加入本地管理员组的方法

 然后我们继续选删除所有成员组,并计划将本地administrator也从管理员组中删除
3种用组策略将域帐号加入本地管理员组的方法
其结果如下:

1.所有用户帐号被从管理员组中删除,除当前登录用户除外。这样多个域用户帐号登录同一个客户端,只会保留最后一个登录帐号加入本地管理员,这就是咱们要的“动态”加入的效果。

2.所有组帐号都被从管理员组中删除,包括Domain Admins

3.administrator帐号是内置帐号,所以怎么设置都删除不掉
3种用组策略将域帐号加入本地管理员组的方法

第3种方法:

3种用组策略将域帐号加入本地管理员组的方法

刷新策略就可以看到TEST02\Domain Admins加入到客户机本地管理员组了
3种用组策略将域帐号加入本地管理员组的方法

有关冲突策略的优先级测试:

接下来在保持先前用户首选项的前提下,把计算机首选项也作相同的删除用户和组操作,如下图

3种用组策略将域帐号加入本地管理员组的方法

刷新一下组策略,test02\user_1被删除,而test02\Domain Admins被加入,看起来,当计算机首选项与用户首选项冲突时,好象符合组策略的“计算机策略优先”定律,但是,且慢...
3种用组策略将域帐号加入本地管理员组的方法

如果再次注销而用user_1帐号重登录,发现test02\Domain Admins却又一次被删除,这是为什么?
3种用组策略将域帐号加入本地管理员组的方法
答案就是:首选项,并非强制的!也就是说,不仅客户端用户自己可以手动改配置(比如手动删除这里由首选项加入的域帐号),而且,后面执行的首选项会盖掉前面的。这是与组策略中的“策略”设置是完全不同的。

 

我们可以再验证一下上述的结论。如果我们重启客户机,然后不登录域(这样就不会使用到用户首选项),而是登录本机(此时仅计算机首选项生效)


3种用组策略将域帐号加入本地管理员组的方法

仅计算机首选项生效:
3种用组策略将域帐号加入本地管理员组的方法

注销,换个域用户帐号登录:
3种用组策略将域帐号加入本地管理员组的方法

计算机首选项设置不见了,换作用户首选项设置
3种用组策略将域帐号加入本地管理员组的方法


最后,总结一下:

1、有3种方法可行,如果是03域控,用“受限制的组”,如果是08R2域控,加组帐号时可以用计算机首选项,加用户帐号时可以用用户首选项

2、不要使用Windows 2008域控,要用Windows 2008R2域控,因为前者存在BUG,我遇到很多次

3、首选项设置时最好选“更新”操作,且用户首选项要同时设置“删除所有成员用户”项,否则每登录一个用户,就会累加一个本地管理员帐号

4、首选项是非强制性的,计算机首选项优先级并不会比用户首选项来得高,看谁最后执行

5、最好不要同时设置计算机首选项和用户首选项,仅用后者也可以添加域组到本地管理员组,用多了,脑子容易短路

 

首选项设置中的更新、删除等4种操作的说明:

http://technet.microsoft.com/zh-cn/library/cc732525(WS.10).aspx 

 

额外的一个好习惯:不要把计算机策略和用户策略定义在一个GPO中,而要分成2个GPO,这样会更加的清晰.比如定义一个 Sales_Dept_Comp_Pol 和 Sales_Dept_User_Pol,然后前者中只定义计算机策略,后者当中只定义用户策略,以后维护一看名字就区分出来了.并且Comp_OU与User_OU也分开,前者只放计算机对象,后者只放用户对象,组策略便可一一对应上,这样就不容易搞得神经错乱了!










本文转自 忘情OK  51CTO博客,原文链接:http://blog.51cto.com/itchentao/1554427,如需转载请自行联系原作者
目录
相关文章
|
安全 数据安全/隐私保护