域用户本地权限设置文档 一、 情况说明 本章节内容将会对域环境中的本地权限进行一些说明,并且会说明为什么域用户登陆本地机器后不能安装服务的原因,下一章节将会给出具体解决步骤,如急需解决问题的情况下可直接跳过本章节阅读下一章节内容。 在 AD 上建立域用户的时候,默认是隶属于 Domain Uses 用户组 我们登陆到加入域的客户端机器上,打开用户管理模块,我们可以发现,Domain Users 组只隶属于本地的 Users 组,在本地的 administrators 组中没有Doamin Users 组;然而安装 w indow s 服务必须是本地administrators 组中的用户才可以安装。 从上图中可以看到,Domain Admins 组默认就是在本地的 administratos 组中的,这就解释了为什么通常情况下本地管理员和域管理员都能安装windows 服务。 但是有些ghost 安装的winXP 会把本地administrators 组中的Domain admins删除,后果就导致了只有本地管理员能安装windows 服务,域管理员不能安装windows 服务。 为了能使加入域的客户端电脑能够安装windows 服务,就需要获得本地的administrators组的权限,有如下几种方法 1、通过组策略强制把Domain Admins 加入到每个客户端的本地administrators 组中,然后通过大通的权限获取机制安装大通windows 服务。 2、通过组策略把Domain Users 加入到每个客户端的本地administrators 组中,这样所有登陆的域用户都可以安装服务,全部安装完成后再通过组策略把Domain Users 从每个客户端的本地administrators 组中移除。 下一章节就是解决步骤。 二、 解决步骤 方法1 : 创建datong.vbs,内容如下: Set ws = WScript.CreateObject ( "WScript.Shell" ) compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" ) Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" ) adGrp.Add ( "WinNT://Domain Admins,group" ) 在AD 中右键点击“域(例如EASTRJ.COM)”——>属性——>组策略 “新建”——“组策略名称随便取”——“编辑” 计算机配置——w indow s 设置——脚本——启动 点击“显示文件”,把 datong.vbs 拷贝到目录中 回到策略界面,点击添加,把datong.v bs 加入启动策略。 完成后,客户端策略刷新(手动刷新命令是gpupdate /force),电脑重启后就有权限了。 方法 2 : 添加策略的操作步骤与方法 1 完...
