一、简介

  公司大部分主机加入域已有一段时间了,由于某软件没管理员权限不能执行,所以管理员权限一直没撤销,不能完全实现域的管理效果。但起码实现了域用户脱离不了域的控制:http://www.cnblogs.com/sjy000/p/4713389.html

  撤销管理员后,所有用户加入Power Users组,只有主管仍是Administrators组。Power Users组可以正常访问本地所有资源,不能安装软件、修改注册表、修改TCP/IP、修改计算机等。同事修改计算机设置时,向SA申请,SA使用管理员账号登录后修改;安装软件由SA则使用批处理输入程序的完整路径后开始安装,批处理用的是runas命令,让普通用户以管理员的身份执行程序。软件管理方式还可使用域组策略部署。

  另外还有个域组策略脚本执行身份的问题需解决。域组策略脚本是以登录的用户身份执行的,而用户身份只是属于Power Users组,当脚本的命令涉及修改系统设置,就无法生效了。这时还得使用runas命令解决,让原脚本以管理员身份执行。

二、服务器配置

1、域用户撤销本地管理员,禁止本地用户登录

Administrators组成员设为只有域Domain Admins,Power Users与Users组只有Domain Users。

该设置还有额外的效果加成——本地用户无法登录,因为这些用户不再属于这三个本地组了。

2、在客户端执行一次runas,保存管理员的密码

域TEST.COM,管理员账号administrator。

/savecred选项表示执行一次后保存密码;/noprofile选项表示不加载用户的配置文件,不加该选项部分主机找不到路径

runas /savecred /noprofile /user:TEST\administrator calc.exe

3、runas命令指向域组策略旧的脚本,以管理员身份执行

runas /savecred /noprofile /user:TEST\administrator \\192.168.1.100\bat\old.bat

使用runas后,批处理会弹窗运行,进行下美化。

title XX公司系统管理脚本

color 1F

echo 配置中,请勿关闭...

命令>%temp%\result.tmp

del %temp%\result.tmp

::隐藏执行结果

4、编写批处理,SA运行、安装软件的工具

输入程序完整路径后执行。

@echo off

color 1F

title Administrator

echo.

set /p a=Enter the programme path:

runas /savecred /noprofile /user:TEST\administrator %a%
pause

软件Bat To Exe Converter将批处理转换为exe程序,禁止用户查看命令。

三、客户端测试

1、执行一次runas保存管理员密码

2、尝试修改IP、创建账号、修改系统设置、安装软件

3、尝试旧本地管理员账号登录

4、SA使用批处理帮同事安装软件

本文出自 “运维菜鸟.log” 博客,谢绝转载!

AD域撤销域用户管理员权限方案的更多相关文章

  1. 金蝶K3,域环境中,无本地用户管理员权限的域用户如何设置注册表权限?

    如果该用户是属于Power Users组:只需要给用户添加注册表中的HKEY_LOCAL_MACHINE的SOFTWARE完全控制的权限.(勾选允许父项的继承权限和传播到该对象和所有子对象) 如果该用 ...

  2. WIN8 WIN10系统如何完全获取用户管理员权限

    按住WIN+R 2 计算机配置----Windows设置----安全设置----本地策略----安全选项----用户账户控制:以管理员批准模式运行所有管理员,把启用改为禁止然后重启电脑

  3. python 执行需要管理员权限的命令(Windows)

    由于Windows存在管理员权限限制,执行需管理员权限的命令时会出错, 有两种方案, 1.采用python调用vbs文件,vbs调用bat文件 2.采用提供弹出用户管理员权限方式让用户确认 1.采用p ...

  4. AD域-让共享目录只显示用户有权限访问的文件夹

    问题: 在AD域中,我们一般都会用到共享,如果有很多部门,我们可能还会按部门.职位配置权限.比如CSD,IT,PA等,但文件夹一多,用户看着就头大,而且用户没权限访问的文件夹误点击进去还会提示无权限访 ...

  5. Active Directory中获取域管理员权限的攻击方法

    Active Directory中获取域管理员权限的攻击方法         译:by  backlion 0x00 前言 攻击者可以通过多种方式在Active Directory中获得域管理员权限, ...

  6. AUTOIT解决域控普通用户以管理员身份安装软件方法

    windows域管理,本是很好的管理方式,方便的软件分发,权限控制等功能.不过由于我处软件分发总有那么一些电脑没有成功安装,或是新装的电脑安装软件时漏了安装一些软件,而这些软件需要管理员权限安装的,用 ...

  7. vCSA加域&vcenter关联域&设置管理员权限

    vCSA 与 Windows vCenter对比 1.部署起来更简单快捷. 2.vCSA基于Linux授权费用节省. 3.功能在6.0之后达到与Windows vCenter一样的功能,之后可能会反超 ...

  8. 导出当前域内所有用户hash的技术整理

    0x00目标: 导出当前域内所有用户的hash 0x01测试环境: 域控:server2008 r2 杀毒软件:已安装* 域控权限:可使用net use远程登陆,不使用3389 0x02测试方法: ( ...

  9. 使用ADMT和PES实现window AD账户跨域迁移-介绍篇

    使用 ADMT 和 pwdmig 实现 window AD 账户跨域迁移系列: 介绍篇 ADMT 安装 PES 的安装 ADMT:迁移组 ADMT:迁移用户 ADMT:计算机迁移 ADMT:报告生成 ...

随机推荐

  1. MySQL触发器-条件触发器语法

    文章为作者原创,未经许可,禁止转载.    -Sun Yat-sen University 冯兴伟 实验4 触发器 )实验目的 掌握数据库触发器的设计和使用方法 )实验内容和要求 定义BEFORE触发 ...

  2. AngularJS 脏检查深入分析

    写在开头 关于Angular脏检查,之前没有仔细学习,只是旁听道说,Angular 会定时的进行周期性数据检查,将前台和后台数据进行比较,所以非常损耗性能. 这是大错而特错的.我甚至在新浪前端面试的时 ...

  3. 有向无环图的应用—AOV网 和 拓扑排序

    有向无环图:无环的有向图,简称 DAG (Directed Acycline Graph) 图. 一个有向图的生成树是一个有向树,一个非连通有向图的若干强连通分量生成若干有向树,这些有向数形成生成森林 ...

  4. ORA 各种oraclesql错误

    ORA-00001: 违反唯一约束条件 (.) ORA-00017: 请求会话以设置跟踪事件 ORA-00018: 超出最大会话数 ORA-00019: 超出最大会话许可数 ORA-00020: 超出 ...

  5. JS将秒转换为 天-时-分-秒

    记录一下,备忘.. function SecondToDate(msd) { var time =msd if (null != time && "" != tim ...

  6. 单链表的C++实现(采用模板类)

    采用模板类实现的好处是,不用拘泥于特定的数据类型.就像活字印刷术,制定好模板,就可以批量印刷,比手抄要强多少倍! 此处不具体介绍泛型编程,还是着重叙述链表的定义和相关操作.  链表结构定义 定义单链表 ...

  7. 在web浏览器上显示室内温度(nodeJs+arduino+socket.io)

    上次的nodejs操作arduino入门篇中实现了如何连接arduino.这次我们来实现通过arduino测量室内温度并在浏览器上显示出来. [所需材料] 硬件:LM35温度传感器,arduino u ...

  8. 用c-free 5写一个入门的程序

    本文记录了在windows系统中使用C-FREE 5新建一个Hello HoverTree程序的步骤. 安装好C-Free 5之后,打开.新建一个工程: 附C-Free 5下载:http://hove ...

  9. ASP.NET Core File Providers

    原文地址:FileProvider By Steve Smith ASP.NET Core通过对File Providers的使用实现了对文件系统访问的抽象. 查看或下载示例代码 File Provi ...

  10. WPF binding 参考

    Introduction This is an article on WPF Binding Cheat Sheet. Some of the Binding won't work for Silve ...