次当前系统域帐号是怎么在第一次登录时,自动加入域客户端本地管理员组的?我猜不外乎就是脚本、计算机策略或虚拟机初始化的自动应答脚本,结果系统的前任同事找到了答案--GPO的用户策略(确切讲是用户首选项),SIGN!

种方法之一即可实现:

、对于WIN2003域控制器(DC)环境,使用计算机策略的"受限制的组"

、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用用户配置首选项中"本地用户和组".用在将登录帐号自动加入本地管理员组的场合。

、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用计算机配置首选项中"本地用户和组",用在将重要的域组加入客户端本地管理员组的场合。

下面让我细细道来。

种方法的步骤很简单:

.在域中创建一个test01\g1组帐号,将要加入本地管理员组的域帐号test01\user_1加入g1组

幅图

.刷新域客户机的组策略,就可以看到test01\g1组被自动加入到本地管理员组了,如下图

种方法:

种方法,该域WINXP03客户机的初始本地管理员成员如下:

为了使GPO"首选项"能作用到客户端,需要在域客户端安装客户端扩展集组件(CSE),URL为:

http://technet.microsoft.com/zh-cn/library/cc731892(WS.10).aspx

根据客户端OS类型选相应组件下载,并安装到WINXP03客户机中,如下图(XMLLite XML无需安装):

在2008R2上开始设置GPO的用户配置项,按下图添加对客户端本地Administrators的操作策略

操作中的"更新"代表更新域客户端Administrators组中的成员,"添加当前用户"是指添加登录时的域帐号到客户端本地Administrators组,只要域帐号一登录,就把它加入本地管理员组

现在用域帐号test02\user_1登录测试一下

用户首选项策略生效,该帐号被成功加入管理员组

接下来看看"删除所有成员用户"的结果

换一个test02\user_2帐号,显然,已将前面加入的user_1帐号删除,还有其他除administrator以外的用户帐号被删除(本地的USER1) 

然后我们继续选删除所有成员组,并计划将本地administrator也从管理员组中删除

其结果如下:

1.所有用户帐号被从管理员组中删除,除当前登录用户除外。这样多个域用户帐号登录同一个客户端,只会保留最后一个登录帐号加入本地管理员,这就是咱们要的"动态"加入的效果。

2.所有组帐号都被从管理员组中删除,包括Domain Admins

种方法:

刷新策略就可以看到TEST02\Domain Admins加入到客户机本地管理员组了

有关冲突策略的优先级测试:

接下来在保持先前用户首选项的前提下,把计算机首选项也作相同的删除用户和组操作,如下图

刷新一下组策略,test02\user_1被删除,而test02\DomainAdmins被加入,看起来,当计算机首选项与用户首选项冲突时,好象符合组策略的"计算机策略优先"定律,但是,且慢...

如果再次注销而用user_1帐号重登录,发现test02\Domain Admins却又一次被删除,这是为什么?

答案就是:首选项,并非强制的!也就是说,不仅客户端用户自己可以手动改配置(比如手动删除这里由首选项加入的域帐号),而且,后面执行的首选项会盖掉前面的。这是与组策略中的"策略"设置是完全不同的。

我们可以再验证一下上述的结论。如果我们重启客户机,然后不登录域(这样就不会使用到用户首选项),而是登录本机(此时仅计算机首选项生效)

仅计算机首选项生效:

注销,换个域用户帐号登录:

计算机首选项设置不见了,换作用户首选项设置

最后,总结一下:

、有3种方法可行,如果是03域控,用"受限制的组",如果是08R2域控,加组帐号时可以用计算机首选项,加用户帐号时可以用用户首选项

、不要使用Windows 2008域控,要用Windows 2008R2域控,因为前者存在BUG,我遇到很多次

、首选项设置时最好选"更新"操作,且用户首选项要同时设置"删除所有成员用户"项,否则每登录一个用户,就会累加一个本地管理员帐号

、首选项是非强制性的,计算机首选项优先级并不会比用户首选项来得高,看谁最后执行

、最好不要同时设置计算机首选项和用户首选项,仅用后者也可以添加域组到本地管理员组,用多了,脑子容易短路

种操作的说明:

http://technet.microsoft.com/zh-cn/library/cc732525(WS.10).aspx

个GPO,这样会更加的清晰.比如定义一个Sales_Dept_Comp_Pol 和Sales_Dept_User_Pol,然后前者中只定义计算机策略,后者当中只定义用户策略,以后维护一看名字就区分出来了.并且Comp_OU与User_OU也分开,前者只放计算机对象,后者只放用户对象,组策略便可一一对应上,这样就不容易搞得神经错乱了!

3种用组策略将域帐号加入本地管理员组的方法_jinifly_新浪博客的更多相关文章

  1. windows组策略实验-本地组策略和域控组策略

    windows组策略实验-本地组策略和域控组策略 本地组策略只对本地计算机有效,域策略是计算机加入域环境后对加入域的一组计算机.用户定义的策略,便于管理 本地组策略: 一.实验环境 Windows 7 ...

  2. Samba结合AD实现域帐号认证的文件服务器

    准备一台Windows域控制器, 在Samba服务器上安装Webmin图形化管理工具, samba, krb5-user, winbind. 修改/etc/krb5.conf. [logging] d ...

  3. PCB 模拟Windows管理员域帐号安装软件

    在我们PCB行业中,局域网的电脑一般都会加入域控的,这样可以方便集中管理用户权限,并可以对访问网络资源可以进行权限限制等. 由于加入了域控对帐号权限的管理,这样一来很多人都无权限安装软件,比如:PCB ...

  4. PCB 工程系统 模拟windows域帐号登入

    一.需求描述: 对于PCB制造企业来说,基本都采用建立共享目享+域名管控权限,好像别的大多数行业都是这样的吧.呵呵 在实际应用中,经常会有这样的问题,自己登入的帐号没有共享目录的权限,但又想通过程序实 ...

  5. Golang拼接字符串的5种方法及其效率_Chrispink-CSDN博客_golang 字符串拼接效率 https://blog.csdn.net/m0_37422289/article/details/103362740

    Different ways to concatenate two strings in Golang - GeeksforGeeks https://www.geeksforgeeks.org/di ...

  6. win2003 server的域用户加入本地管理员组

    很久没有搞windows的域管理,今天碰到一个问题,一直找不到解决方法,一直在网络找资料,直到刚刚才找到方法,方法如下: C:\>net localgroup administrators li ...

  7. Window Server 2019 配置篇(6)- 利用组策略实现域内自动安装软件

    上次我们建立了WSUS实现了更新管理,那么现在我们需要的是让集群内的客户机(之后会建立在hyper-v集群上)和服务器都能装上三个软件 1. Microsoft Team 2. Notepad++ 3 ...

  8. Filezilla FTP Server 设置帐号主目录文件夹的方法和多个帐号共享一个文件夹的方法

    1.点击用户头像进入 2.共享文件夹 3.添加共享文件夹 4.设置一个主目录 5.右键主目录 如图6设置别名,别名问主目录路径+别名名称 如:主目录[d:\pro\home\] 别名[aliases1 ...

  9. GitLab11.3.9 使用 Crowd3.3.2 的帐号实现 SSO 单点登录,以及GitLab配置腾讯企业邮箱

    GitLab11.3.9 的安装方法: 点击查看.   Crowd3.3.2 的安装方法:点击查看.   需要先在 Crowd 创建应用程序,参考 <Docker 创建 Crowd3.3.2 以 ...

随机推荐

  1. HDU1712周期

    ACboy needs your help Time Limit: 1000/1000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Ot ...

  2. 解决remove @override annotation(jdk1.5和jdk1.6)

    在@override注释在jdk1.5环境下只能用于对继承的类的方法的重写,而不能用于对实现的接口中的方法的实现. 解决方法: 删除 @override

  3. (二)STM32中中断优先级理解

    很多人在配置STM32中断时对固件库中的这个函数NVIC_PriorityGroupConfig()——配置优先级分组方式,会很不理解,尤其是看中文翻译版的,因为中文翻译版里把这里翻译成“先占优先级和 ...

  4. 修改iptables防火墙规则解决vsftp登录后不显示文件目录的问题

    如果设置防火墙开端口可能只是常用的几个端口,这样很可能导vsftpd在被动模式时无法启动随机端口,从而造成客户端的FTP无法列出目录这样胡问题.解决方式很简单,给 vsftpd增加随机端口范围,然后把 ...

  5. 基于Twemproxy的Redis集群方案

    概述 由于单台redis服务器的内存管理能力有限,使用过大内存redis服务器的性能急剧下降,且服务器发生故障将直接影响大面积业务.为了获取更好的缓存性能及扩展型,我们将需要搭建redis集群来满足需 ...

  6. C#学习笔记---修饰符,this关键字和static关键字

    1.  C#中类的修饰符: public 表示不限制对该类的访问  protected 表示只能从所在类和所在类派生的子类进行访问    private 只有其所在类才能访问 internal 只有对 ...

  7. jquery easy ui 1.3.4 Tree树形菜单(9)

    9.1.创建树形菜单 <ul id="tt" class="easyui-tree"> <li><span>第一级</ ...

  8. 如何为Linux生成和打上patch

    通过diff工具生成补丁, patch工具打上补丁. 在使用diff之前, 你需要保留一份未修改过的源码, 然后在其它地方修改源码的一份拷贝. diff对比这两份源码生成patch. 修改过的源码必须 ...

  9. DDL, DML不是所有SQL都是可以自动回滚的

    因为DDL没有事务性,所以DDL不能回滚. 要实现自动回滚.(begin,commit,rollback),则SQL语句中只能包括DML. 这样,自动化发布就会受限规范格式. 故而,一刀切的办法是,假 ...

  10. C#学习笔记(六)——面向对象编程简介

    一.面向对象编程的含义 *   是一种模块化编程方法,使代码的重用性大大的增加. *   oop技术使得项目的设计阶段需要的精力大大的增加,但是一旦对某种类型的数据表达方式达成一致,这种表达方式就可以 ...