3 种用组策略将域帐号加入本地管理员组的方法 台湾女同事问了我2 次当前系统域帐号是怎么在第一次登录时,自动加入域客户端本地管理员组的?我猜不外乎就是脚本、计算机策略或虚拟机初始化的自动应答脚本,结果系统的前任同事找到了答案--GPO 的用户策略(确切讲是用户首选项),SIGN! 今天琢磨了一下,采用下列 3 种方法之一即可实现: 1、对于 W IN2003 域控制器(DC)环境,使用计算机策略的“受限制的组” 2、对于 W IN2008/2008R2(尽可能用 R2 的 DC)的 DC 环境,使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。 3、对于 WIN2008/2008R2(尽可能用 R2 的 DC)的 DC 环境,使用计算机配置首选项中“本地用户和组”,用在将重要的域组加入客户端本地管理员组的场合。 下面让我细细道来。 第 1 种方法的步骤很简单: .在域中创建一个 test01\g1 组帐号,将要加入本地管理员组的域帐号 test01\u ser_1 加入 g1 组 .在组策略中在“受限制的组”上右键选添加组,然后把一些元素添入选项,参照本文第 1 幅图 .刷新域客户机的组策略,就可以看到test01\g1 组被自动加入到本地管理员组了,如下图 第 2 种方法: 为了避免干扰,我创建了另一个 2008R2 的域来验证第 2 种方法,该域 WINXP03 客户机的初始本地管理员成员如下: 为了使 GPO“首选项”能作用到客户端,需要在域客户端安装客户端扩展集组件(CSE),URL为: http://technet.microsoft.com/zh-cn/library/cc731892(WS.10).aspx 根据客户端 OS 类型选相应组件下载,并安装到 WINXP03 客户机中,如下图(XMLLite XML无需安装): 在2008R2 上开始设置GPO 的用户配置项,按下图添加对客户端本地Administrators 的操作策略 操作中的“更新”代表更新域客户端Administrators 组中的成员,“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators 组,只要域帐号一登录,就把它加入本地管理员组现在用域帐号test02\u ser_1 登录测试一下 用户首选项策略生效,该帐号被成功加入管理员组 接下来看看“删除所有成员用户”的结果 换一个 test02\u ser_2 帐号,显然,已将前面加入的u ser_1 帐号删除,还有其他除administrator以外的用户帐号被删除(本地的USER1) 然后我们继续选删除所有成员组,并计划将本地administrator 也从管理员组中删除 其结果如下: 1.所有用...
