次当前系统域帐号是怎么在第一次登录时,自动加入域客户端本地管理员组的?我猜不外乎就是脚本、计算机策略或虚拟机初始化的自动应答脚本,结果系统的前任同事找到了答案--GPO的用户策略(确切讲是用户首选项),SIGN!

种方法之一即可实现:

、对于WIN2003域控制器(DC)环境,使用计算机策略的"受限制的组"

、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用用户配置首选项中"本地用户和组".用在将登录帐号自动加入本地管理员组的场合。

、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用计算机配置首选项中"本地用户和组",用在将重要的域组加入客户端本地管理员组的场合。

下面让我细细道来。

种方法的步骤很简单:

.在域中创建一个test01\g1组帐号,将要加入本地管理员组的域帐号test01\user_1加入g1组

幅图

.刷新域客户机的组策略,就可以看到test01\g1组被自动加入到本地管理员组了,如下图

种方法:

种方法,该域WINXP03客户机的初始本地管理员成员如下:

为了使GPO"首选项"能作用到客户端,需要在域客户端安装客户端扩展集组件(CSE),URL为:

http://technet.microsoft.com/zh-cn/library/cc731892(WS.10).aspx

根据客户端OS类型选相应组件下载,并安装到WINXP03客户机中,如下图(XMLLite XML无需安装):

在2008R2上开始设置GPO的用户配置项,按下图添加对客户端本地Administrators的操作策略

操作中的"更新"代表更新域客户端Administrators组中的成员,"添加当前用户"是指添加登录时的域帐号到客户端本地Administrators组,只要域帐号一登录,就把它加入本地管理员组

现在用域帐号test02\user_1登录测试一下

用户首选项策略生效,该帐号被成功加入管理员组

接下来看看"删除所有成员用户"的结果

换一个test02\user_2帐号,显然,已将前面加入的user_1帐号删除,还有其他除administrator以外的用户帐号被删除(本地的USER1) 

然后我们继续选删除所有成员组,并计划将本地administrator也从管理员组中删除

其结果如下:

1.所有用户帐号被从管理员组中删除,除当前登录用户除外。这样多个域用户帐号登录同一个客户端,只会保留最后一个登录帐号加入本地管理员,这就是咱们要的"动态"加入的效果。

2.所有组帐号都被从管理员组中删除,包括Domain Admins

种方法:

刷新策略就可以看到TEST02\Domain Admins加入到客户机本地管理员组了

有关冲突策略的优先级测试:

接下来在保持先前用户首选项的前提下,把计算机首选项也作相同的删除用户和组操作,如下图

刷新一下组策略,test02\user_1被删除,而test02\DomainAdmins被加入,看起来,当计算机首选项与用户首选项冲突时,好象符合组策略的"计算机策略优先"定律,但是,且慢...

如果再次注销而用user_1帐号重登录,发现test02\Domain Admins却又一次被删除,这是为什么?

答案就是:首选项,并非强制的!也就是说,不仅客户端用户自己可以手动改配置(比如手动删除这里由首选项加入的域帐号),而且,后面执行的首选项会盖掉前面的。这是与组策略中的"策略"设置是完全不同的。

我们可以再验证一下上述的结论。如果我们重启客户机,然后不登录域(这样就不会使用到用户首选项),而是登录本机(此时仅计算机首选项生效)

仅计算机首选项生效:

注销,换个域用户帐号登录:

计算机首选项设置不见了,换作用户首选项设置

最后,总结一下:

、有3种方法可行,如果是03域控,用"受限制的组",如果是08R2域控,加组帐号时可以用计算机首选项,加用户帐号时可以用用户首选项

、不要使用Windows 2008域控,要用Windows 2008R2域控,因为前者存在BUG,我遇到很多次

、首选项设置时最好选"更新"操作,且用户首选项要同时设置"删除所有成员用户"项,否则每登录一个用户,就会累加一个本地管理员帐号

、首选项是非强制性的,计算机首选项优先级并不会比用户首选项来得高,看谁最后执行

、最好不要同时设置计算机首选项和用户首选项,仅用后者也可以添加域组到本地管理员组,用多了,脑子容易短路

种操作的说明:

http://technet.microsoft.com/zh-cn/library/cc732525(WS.10).aspx

个GPO,这样会更加的清晰.比如定义一个Sales_Dept_Comp_Pol 和Sales_Dept_User_Pol,然后前者中只定义计算机策略,后者当中只定义用户策略,以后维护一看名字就区分出来了.并且Comp_OU与User_OU也分开,前者只放计算机对象,后者只放用户对象,组策略便可一一对应上,这样就不容易搞得神经错乱了!

3种用组策略将域帐号加入本地管理员组的方法_jinifly_新浪博客的更多相关文章

  1. windows组策略实验-本地组策略和域控组策略

    windows组策略实验-本地组策略和域控组策略 本地组策略只对本地计算机有效,域策略是计算机加入域环境后对加入域的一组计算机.用户定义的策略,便于管理 本地组策略: 一.实验环境 Windows 7 ...

  2. Samba结合AD实现域帐号认证的文件服务器

    准备一台Windows域控制器, 在Samba服务器上安装Webmin图形化管理工具, samba, krb5-user, winbind. 修改/etc/krb5.conf. [logging] d ...

  3. PCB 模拟Windows管理员域帐号安装软件

    在我们PCB行业中,局域网的电脑一般都会加入域控的,这样可以方便集中管理用户权限,并可以对访问网络资源可以进行权限限制等. 由于加入了域控对帐号权限的管理,这样一来很多人都无权限安装软件,比如:PCB ...

  4. PCB 工程系统 模拟windows域帐号登入

    一.需求描述: 对于PCB制造企业来说,基本都采用建立共享目享+域名管控权限,好像别的大多数行业都是这样的吧.呵呵 在实际应用中,经常会有这样的问题,自己登入的帐号没有共享目录的权限,但又想通过程序实 ...

  5. Golang拼接字符串的5种方法及其效率_Chrispink-CSDN博客_golang 字符串拼接效率 https://blog.csdn.net/m0_37422289/article/details/103362740

    Different ways to concatenate two strings in Golang - GeeksforGeeks https://www.geeksforgeeks.org/di ...

  6. win2003 server的域用户加入本地管理员组

    很久没有搞windows的域管理,今天碰到一个问题,一直找不到解决方法,一直在网络找资料,直到刚刚才找到方法,方法如下: C:\>net localgroup administrators li ...

  7. Window Server 2019 配置篇(6)- 利用组策略实现域内自动安装软件

    上次我们建立了WSUS实现了更新管理,那么现在我们需要的是让集群内的客户机(之后会建立在hyper-v集群上)和服务器都能装上三个软件 1. Microsoft Team 2. Notepad++ 3 ...

  8. Filezilla FTP Server 设置帐号主目录文件夹的方法和多个帐号共享一个文件夹的方法

    1.点击用户头像进入 2.共享文件夹 3.添加共享文件夹 4.设置一个主目录 5.右键主目录 如图6设置别名,别名问主目录路径+别名名称 如:主目录[d:\pro\home\] 别名[aliases1 ...

  9. GitLab11.3.9 使用 Crowd3.3.2 的帐号实现 SSO 单点登录,以及GitLab配置腾讯企业邮箱

    GitLab11.3.9 的安装方法: 点击查看.   Crowd3.3.2 的安装方法:点击查看.   需要先在 Crowd 创建应用程序,参考 <Docker 创建 Crowd3.3.2 以 ...

随机推荐

  1. Java for LeetCode 072 Edit Distance【HARD】

    Given two words word1 and word2, find the minimum number of steps required to convert word1 to word2 ...

  2. 4.python函数基础

    一.函数 1.函数简介 函数是组织好的,可重复使用的,用来实现单一,或相关联功能的代码段. 函数能提高应用的模块性,和代码的重复利用率.你已经知道Python提供了许多内建函数,比如print().但 ...

  3. 【python】2048

    来源:https://www.shiyanlou.com/courses/368 实验楼的2048程序,在linux下可实现通过终端游戏. 主要学习的知识点: 1.状态机函数实现,用字典将状态和函数相 ...

  4. HDU1297 Children’s Queue (高精度+递推)

    Children’s Queue Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 65536/32768 K (Java/Others) ...

  5. Android textView点击滚动(跑马灯)效果

    布局文件: <LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" xmlns:to ...

  6. C语言,输入一个正整数,按由大到小的顺序输出它的所有质数的因子(如180=5*3*3*2*2)

    #include <iostream> using namespace std; int main() { long num; while(cin >> num){ ){ co ...

  7. ARP协议和DNS协议对比

    DNS是在域名和IP之间进行解析,ARP是在IP和MAC之间解析. ARP协议不需要服务,DNS需要开启服务. ARP协议需要互联的主机处于同一个物理网段之内(即局域网环境)

  8. svn status 显示 ~xx

    “~” 版本控制下的项目与其它类型的项目重名

  9. mysql-关于Unix时间戳(unix_timestamp)

    unix_timestamp时间戳是自 1970 年 1 月 1 日(00:00:00 GMT)以来的秒数.它也被称为 Unix 时间戳(Unix Timestamp). Unix时间戳(Unix t ...

  10. js 下拉列表 省 市

    js 下拉列表 省 市 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http:/ ...