一、简介

  公司大部分主机加入域已有一段时间了,由于某软件没管理员权限不能执行,所以管理员权限一直没撤销,不能完全实现域的管理效果。但起码实现了域用户脱离不了域的控制:http://www.cnblogs.com/sjy000/p/4713389.html

  撤销管理员后,所有用户加入Power Users组,只有主管仍是Administrators组。Power Users组可以正常访问本地所有资源,不能安装软件、修改注册表、修改TCP/IP、修改计算机等。同事修改计算机设置时,向SA申请,SA使用管理员账号登录后修改;安装软件由SA则使用批处理输入程序的完整路径后开始安装,批处理用的是runas命令,让普通用户以管理员的身份执行程序。软件管理方式还可使用域组策略部署。

  另外还有个域组策略脚本执行身份的问题需解决。域组策略脚本是以登录的用户身份执行的,而用户身份只是属于Power Users组,当脚本的命令涉及修改系统设置,就无法生效了。这时还得使用runas命令解决,让原脚本以管理员身份执行。

二、服务器配置

1、域用户撤销本地管理员,禁止本地用户登录

Administrators组成员设为只有域Domain Admins,Power Users与Users组只有Domain Users。

该设置还有额外的效果加成——本地用户无法登录,因为这些用户不再属于这三个本地组了。

2、在客户端执行一次runas,保存管理员的密码

域TEST.COM,管理员账号administrator。

/savecred选项表示执行一次后保存密码;/noprofile选项表示不加载用户的配置文件,不加该选项部分主机找不到路径

runas /savecred /noprofile /user:TEST\administrator calc.exe

3、runas命令指向域组策略旧的脚本,以管理员身份执行

runas /savecred /noprofile /user:TEST\administrator \\192.168.1.100\bat\old.bat

使用runas后,批处理会弹窗运行,进行下美化。

title XX公司系统管理脚本

color 1F

echo 配置中,请勿关闭...

命令>%temp%\result.tmp

del %temp%\result.tmp

::隐藏执行结果

4、编写批处理,SA运行、安装软件的工具

输入程序完整路径后执行。

@echo off

color 1F

title Administrator

echo.

set /p a=Enter the programme path:

runas /savecred /noprofile /user:TEST\administrator %a%
pause

软件Bat To Exe Converter将批处理转换为exe程序,禁止用户查看命令。

三、客户端测试

1、执行一次runas保存管理员密码

2、尝试修改IP、创建账号、修改系统设置、安装软件

3、尝试旧本地管理员账号登录

4、SA使用批处理帮同事安装软件

本文出自 “运维菜鸟.log” 博客,谢绝转载!

AD域撤销域用户管理员权限方案的更多相关文章

  1. 金蝶K3,域环境中,无本地用户管理员权限的域用户如何设置注册表权限?

    如果该用户是属于Power Users组:只需要给用户添加注册表中的HKEY_LOCAL_MACHINE的SOFTWARE完全控制的权限.(勾选允许父项的继承权限和传播到该对象和所有子对象) 如果该用 ...

  2. WIN8 WIN10系统如何完全获取用户管理员权限

    按住WIN+R 2 计算机配置----Windows设置----安全设置----本地策略----安全选项----用户账户控制:以管理员批准模式运行所有管理员,把启用改为禁止然后重启电脑

  3. python 执行需要管理员权限的命令(Windows)

    由于Windows存在管理员权限限制,执行需管理员权限的命令时会出错, 有两种方案, 1.采用python调用vbs文件,vbs调用bat文件 2.采用提供弹出用户管理员权限方式让用户确认 1.采用p ...

  4. AD域-让共享目录只显示用户有权限访问的文件夹

    问题: 在AD域中,我们一般都会用到共享,如果有很多部门,我们可能还会按部门.职位配置权限.比如CSD,IT,PA等,但文件夹一多,用户看着就头大,而且用户没权限访问的文件夹误点击进去还会提示无权限访 ...

  5. Active Directory中获取域管理员权限的攻击方法

    Active Directory中获取域管理员权限的攻击方法         译:by  backlion 0x00 前言 攻击者可以通过多种方式在Active Directory中获得域管理员权限, ...

  6. AUTOIT解决域控普通用户以管理员身份安装软件方法

    windows域管理,本是很好的管理方式,方便的软件分发,权限控制等功能.不过由于我处软件分发总有那么一些电脑没有成功安装,或是新装的电脑安装软件时漏了安装一些软件,而这些软件需要管理员权限安装的,用 ...

  7. vCSA加域&vcenter关联域&设置管理员权限

    vCSA 与 Windows vCenter对比 1.部署起来更简单快捷. 2.vCSA基于Linux授权费用节省. 3.功能在6.0之后达到与Windows vCenter一样的功能,之后可能会反超 ...

  8. 导出当前域内所有用户hash的技术整理

    0x00目标: 导出当前域内所有用户的hash 0x01测试环境: 域控:server2008 r2 杀毒软件:已安装* 域控权限:可使用net use远程登陆,不使用3389 0x02测试方法: ( ...

  9. 使用ADMT和PES实现window AD账户跨域迁移-介绍篇

    使用 ADMT 和 pwdmig 实现 window AD 账户跨域迁移系列: 介绍篇 ADMT 安装 PES 的安装 ADMT:迁移组 ADMT:迁移用户 ADMT:计算机迁移 ADMT:报告生成 ...

随机推荐

  1. Asp.Net 将枚举类型(enum)绑定到ListControl(DropDownList)控件

    在开发过程中一些状态的表示使用到枚举类型,那么如何将枚举类型直接绑定到ListControl(DropDownList)是本次的主题,废话不多说了,直接代码: 首先看工具类代码: /// <su ...

  2. 基于Caffe的DeepID2实现(下)

    小喵的唠叨话:这次的博客,真心累伤了小喵的心.但考虑到知识需要巩固和分享,小喵决定这次把剩下的内容都写完. 小喵的博客:http://www.miaoerduo.com 博客原文: http://ww ...

  3. 05.GitHub实战系列~5.发布版本之分支操作+Tag讲解 2015-12-14

    GitHub实战系列汇总:http://www.cnblogs.com/dunitian/p/5038719.html ———————————————————————————————————————— ...

  4. SQL Server 批量完整备份

    一.本文所涉及的内容(Contents) 本文所涉及的内容(Contents) 背景(Contexts) 实现代码(SQL Codes) 实现方式一(One) 实现方式二(Two) 实现方式三(Thr ...

  5. FTP的搭建与虚拟目录作用<之简单讲解>

    操作系统:win7 VS2010编写WebService与在IIS的发布<之简单讲解>中我已经说了IIS安装与使用,不明白的可以跳过去看. 1.添加FTP站点 2. 3. 4. 5. zq ...

  6. jQuery 插件-(初体验一)

    1.jquery有2个扩展方法: jquery.fn.extend=jquery.prototype.extend jquery.extend (两者的区别放在后面文章说) 2.具体实例结构: //创 ...

  7. 了解HTML表单之form元素

    前面的话 表单是网页与用户的交互工具,由一个<form>元素作为容器构成,封装其他任何数量的表单控件,还有其他任何<body>元素里可用的标签 表单能够包含<input& ...

  8. [.NET] 开头不讲"Hello Word",读尽诗书也枉然 : Word 操作组件介绍 - Spire.Doc

    开头不讲"Hello Word",读尽诗书也枉然 : Word 操作组件介绍 - Spire.Doc [博主]反骨仔 [原文地址]http://www.cnblogs.com/li ...

  9. MySQL binlog中的事件类型

    MySQL binlog记录的所有操作实际上都有对应的事件类型的,譬如STATEMENT格式中的DML操作对应的是QUERY_EVENT类型,ROW格式下的DML操作对应的是ROWS_EVENT类型. ...

  10. ASP.NET MVC 5调用其他Action

    引用代码: @Html.Action("Index", "BaseData", new { d = "variety" }) 后台获取参数: ...