3种用组策略将域帐号加入本地管理员组的方法

3 种用组策略将域帐号加入本地管理员组的方法 台湾女同事问了我2 次当前系统域帐号是怎么在第一次登录时，自动加入域客户端本地管理员组的？我猜不外乎就是脚本、计算机策略或虚拟机初始化的自动应答脚本，结果系统的前任同事找到了答案--GPO 的用户策略（确切讲是用户首选项），SIGN! 今天琢磨了一下，采用下列 3 种方法之一即可实现： 1、对于 W IN2003 域控制器(DC)环境，使用计算机策略的“受限制的组” 2、对于 W IN2008/2008R2（尽可能用 R2 的 DC）的 DC 环境，使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。 3、对于 WIN2008/2008R2（尽可能用 R2 的 DC）的 DC 环境，使用计算机配置首选项中“本地用户和组”，用在将重要的域组加入客户端本地管理员组的场合。 下面让我细细道来。 第 1 种方法的步骤很简单： .在域中创建一个 test01\g1 组帐号，将要加入本地管理员组的域帐号 test01\u ser_1 加入 g1 组 .在组策略中在“受限制的组”上右键选添加组，然后把一些元素添入选项，参照本文第 1 幅图 .刷新域客户机的组策略，就可以看到test01\g1 组被自动加入到本地管理员组了，如下图 第 2 种方法： 为了避免干扰，我创建了另一个 2008R2 的域来验证第 2 种方法，该域 WINXP03 客户机的初始本地管理员成员如下： 为了使 GPO“首选项”能作用到客户端，需要在域客户端安装客户端扩展集组件(CSE)，URL为： http://technet.microsoft.com/zh-cn/library/cc731892(WS.10).aspx 根据客户端 OS 类型选相应组件下载，并安装到 WINXP03 客户机中，如下图（XMLLite XML无需安装）： 在2008R2 上开始设置GPO 的用户配置项，按下图添加对客户端本地Administrators 的操作策略 操作中的“更新”代表更新域客户端Administrators 组中的成员，“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators 组，只要域帐号一登录，就把它加入本地管理员组现在用域帐号test02\u ser_1 登录测试一下 用户首选项策略生效，该帐号被成功加入管理员组 接下来看看“删除所有成员用户”的结果 换一个 test02\u ser_2 帐号，显然，已将前面加入的u ser_1 帐号删除，还有其他除administrator以外的用户帐号被删除（本地的USER1） 然后我们继续选删除所有成员组，并计划将本地administrator 也从管理员组中删除 其结果如下： 1.所有用...