次当前系统域帐号是怎么在第一次登录时,自动加入域客户端本地管理员组的?我猜不外乎就是脚本、计算机策略或虚拟机初始化的自动应答脚本,结果系统的前任同事找到了答案--GPO的用户策略(确切讲是用户首选项),SIGN!

种方法之一即可实现:

、对于WIN2003域控制器(DC)环境,使用计算机策略的"受限制的组"

、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用用户配置首选项中"本地用户和组".用在将登录帐号自动加入本地管理员组的场合。

、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用计算机配置首选项中"本地用户和组",用在将重要的域组加入客户端本地管理员组的场合。

下面让我细细道来。

种方法的步骤很简单:

.在域中创建一个test01\g1组帐号,将要加入本地管理员组的域帐号test01\user_1加入g1组

幅图

.刷新域客户机的组策略,就可以看到test01\g1组被自动加入到本地管理员组了,如下图

种方法:

种方法,该域WINXP03客户机的初始本地管理员成员如下:

为了使GPO"首选项"能作用到客户端,需要在域客户端安装客户端扩展集组件(CSE),URL为:

http://technet.microsoft.com/zh-cn/library/cc731892(WS.10).aspx

根据客户端OS类型选相应组件下载,并安装到WINXP03客户机中,如下图(XMLLite XML无需安装):

在2008R2上开始设置GPO的用户配置项,按下图添加对客户端本地Administrators的操作策略

操作中的"更新"代表更新域客户端Administrators组中的成员,"添加当前用户"是指添加登录时的域帐号到客户端本地Administrators组,只要域帐号一登录,就把它加入本地管理员组

现在用域帐号test02\user_1登录测试一下

用户首选项策略生效,该帐号被成功加入管理员组

接下来看看"删除所有成员用户"的结果

换一个test02\user_2帐号,显然,已将前面加入的user_1帐号删除,还有其他除administrator以外的用户帐号被删除(本地的USER1) 

然后我们继续选删除所有成员组,并计划将本地administrator也从管理员组中删除

其结果如下:

1.所有用户帐号被从管理员组中删除,除当前登录用户除外。这样多个域用户帐号登录同一个客户端,只会保留最后一个登录帐号加入本地管理员,这就是咱们要的"动态"加入的效果。

2.所有组帐号都被从管理员组中删除,包括Domain Admins

种方法:

刷新策略就可以看到TEST02\Domain Admins加入到客户机本地管理员组了

有关冲突策略的优先级测试:

接下来在保持先前用户首选项的前提下,把计算机首选项也作相同的删除用户和组操作,如下图

刷新一下组策略,test02\user_1被删除,而test02\DomainAdmins被加入,看起来,当计算机首选项与用户首选项冲突时,好象符合组策略的"计算机策略优先"定律,但是,且慢...

如果再次注销而用user_1帐号重登录,发现test02\Domain Admins却又一次被删除,这是为什么?

答案就是:首选项,并非强制的!也就是说,不仅客户端用户自己可以手动改配置(比如手动删除这里由首选项加入的域帐号),而且,后面执行的首选项会盖掉前面的。这是与组策略中的"策略"设置是完全不同的。

我们可以再验证一下上述的结论。如果我们重启客户机,然后不登录域(这样就不会使用到用户首选项),而是登录本机(此时仅计算机首选项生效)

仅计算机首选项生效:

注销,换个域用户帐号登录:

计算机首选项设置不见了,换作用户首选项设置

最后,总结一下:

、有3种方法可行,如果是03域控,用"受限制的组",如果是08R2域控,加组帐号时可以用计算机首选项,加用户帐号时可以用用户首选项

、不要使用Windows 2008域控,要用Windows 2008R2域控,因为前者存在BUG,我遇到很多次

、首选项设置时最好选"更新"操作,且用户首选项要同时设置"删除所有成员用户"项,否则每登录一个用户,就会累加一个本地管理员帐号

、首选项是非强制性的,计算机首选项优先级并不会比用户首选项来得高,看谁最后执行

、最好不要同时设置计算机首选项和用户首选项,仅用后者也可以添加域组到本地管理员组,用多了,脑子容易短路

种操作的说明:

http://technet.microsoft.com/zh-cn/library/cc732525(WS.10).aspx

个GPO,这样会更加的清晰.比如定义一个Sales_Dept_Comp_Pol 和Sales_Dept_User_Pol,然后前者中只定义计算机策略,后者当中只定义用户策略,以后维护一看名字就区分出来了.并且Comp_OU与User_OU也分开,前者只放计算机对象,后者只放用户对象,组策略便可一一对应上,这样就不容易搞得神经错乱了!

3种用组策略将域帐号加入本地管理员组的方法_jinifly_新浪博客的更多相关文章

  1. windows组策略实验-本地组策略和域控组策略

    windows组策略实验-本地组策略和域控组策略 本地组策略只对本地计算机有效,域策略是计算机加入域环境后对加入域的一组计算机.用户定义的策略,便于管理 本地组策略: 一.实验环境 Windows 7 ...

  2. Samba结合AD实现域帐号认证的文件服务器

    准备一台Windows域控制器, 在Samba服务器上安装Webmin图形化管理工具, samba, krb5-user, winbind. 修改/etc/krb5.conf. [logging] d ...

  3. PCB 模拟Windows管理员域帐号安装软件

    在我们PCB行业中,局域网的电脑一般都会加入域控的,这样可以方便集中管理用户权限,并可以对访问网络资源可以进行权限限制等. 由于加入了域控对帐号权限的管理,这样一来很多人都无权限安装软件,比如:PCB ...

  4. PCB 工程系统 模拟windows域帐号登入

    一.需求描述: 对于PCB制造企业来说,基本都采用建立共享目享+域名管控权限,好像别的大多数行业都是这样的吧.呵呵 在实际应用中,经常会有这样的问题,自己登入的帐号没有共享目录的权限,但又想通过程序实 ...

  5. Golang拼接字符串的5种方法及其效率_Chrispink-CSDN博客_golang 字符串拼接效率 https://blog.csdn.net/m0_37422289/article/details/103362740

    Different ways to concatenate two strings in Golang - GeeksforGeeks https://www.geeksforgeeks.org/di ...

  6. win2003 server的域用户加入本地管理员组

    很久没有搞windows的域管理,今天碰到一个问题,一直找不到解决方法,一直在网络找资料,直到刚刚才找到方法,方法如下: C:\>net localgroup administrators li ...

  7. Window Server 2019 配置篇(6)- 利用组策略实现域内自动安装软件

    上次我们建立了WSUS实现了更新管理,那么现在我们需要的是让集群内的客户机(之后会建立在hyper-v集群上)和服务器都能装上三个软件 1. Microsoft Team 2. Notepad++ 3 ...

  8. Filezilla FTP Server 设置帐号主目录文件夹的方法和多个帐号共享一个文件夹的方法

    1.点击用户头像进入 2.共享文件夹 3.添加共享文件夹 4.设置一个主目录 5.右键主目录 如图6设置别名,别名问主目录路径+别名名称 如:主目录[d:\pro\home\] 别名[aliases1 ...

  9. GitLab11.3.9 使用 Crowd3.3.2 的帐号实现 SSO 单点登录,以及GitLab配置腾讯企业邮箱

    GitLab11.3.9 的安装方法: 点击查看.   Crowd3.3.2 的安装方法:点击查看.   需要先在 Crowd 创建应用程序,参考 <Docker 创建 Crowd3.3.2 以 ...

随机推荐

  1. ARGB32 to YUV12 利用 SDL1.2 SDL_ttf 在视频表面输出文本

    提示:ARGB alpha通道的A + 原YUV表面的y0 + 要写进去的y1 = 计算出新的y2. 计算公式为 ( y1 * a + y0 * ( 255 - a ) ) / 255 void rg ...

  2. 补丁vs错误(codevs 2218 错误答案)

    题目描述 Description 错误就是人们所说的Bug.用户在使用软件时总是希望其错误越少越好,最好是没有错误的.但是推出一个没有错误的软件几乎不可能,所以很多软件公司都在疯狂地发放补丁(有时这种 ...

  3. stm32——Flash读写

    stm32——Flash读写 一.Flash简介 通过对stm32内部的flash的读写可以实现对stm32的编程操作. stm32的内置可编程Flash在许多场合具有十分重要的意义.如其支持ICP( ...

  4. PHPCMS V9静态化HTML生成设置及URL规则优化

    先讲讲Phpcms V9在后台怎么设置生成静态化HTML,之后再讲解怎么自定义URL规则,进行URL地址优化.在这一篇中,伪静态就不涉及了,大家可以移步到Phpcms V9全站伪静态设置方法. 一.静 ...

  5. Web service project中导入的库JAXB(JDK1.7新产品,组成部分)

    JAXB(Java Architecture for XML Binding) 是一个业界的标准,是一项可以根据XML Schema产生Java类的技术.该过程中,JAXB也提供了将XML实例文档反向 ...

  6. adb 卸载APP命令和杀死APP命令

    使用adb 卸载APP命令 在cmd命令行下,直接 输入 adb uninstall 包名 比如 adb uninstall com.ghstudio.BootStartDemo 杀死APP命令 先用 ...

  7. C++的那些事:你真的了解引用吗

    一.引用的本质是什么 说到引用,一般C++的教材中都是这么定义的: 1,引用就是一个对象的别名. 2,引用不是值不占内存空间. 3,引用必须在定义时赋值,将变量与引用绑定. 那你有没有想过,上面的定义 ...

  8. HBase伪分布式环境下,HBase的API操作,遇到的问题

    在hadoop2.5.2伪分布式上,安装了hbase1.0.1.1的伪分布式 利用HBase的API创建个testapi的表时,提示  Exception in thread "main&q ...

  9. ThinkPHP中where()方法的使用

    where方法的用法是ThinkPHP查询语言的精髓,也是ThinkPHP ORM的重要组成部分和亮点所在,可以完成包括普通查询.表达式查询.快捷查询.区间查询.组合查询在内的查询操作.where方法 ...

  10. 字符串集合或字符串数组转换成json数组

    字符串可以是List<String>类型的字符串集合,也可以是String[]类型的字符串数组,二者转换成JSON数组的方式没有什么不同.下面代码注意关键的部分即可(画红线部分). 1. ...