當你管理成百上千臺電腦時,難道你還能悠閒地邁着四方步到用戶的電腦面前一臺臺來操作?相當不現實吧…… 估計用戶都拿着C4候着你呢!
我們可以嘗試將net localgroup "power users" "domainname\domain users" /add一條命令做成*.vbs開機腳本,使用域控制器的策略Link到相應的OU,這樣當被設置的該腳本的用戶登錄時,就會自動執行net localgroup "power users" "domainname\domain users" /add這條命令。
但是值得關注的是,執行net localgroup "power users" "domainname\domain users" /add這條命令的帳號至少要是power users中的成員,而domain users登錄到系統時是本地的users,登錄時執行這個腳本將會出現拒絕訪問之類的提示。
若先將DC裏domain users的帳號提升到domain admins,這樣用戶登錄時腳本能成功執行了,但用戶的權限過於大了,若有不慎將會給整個企業帶來很大的風險,如果不給這個權限腳本又無法執行,我們可以有一個比較折中的辦法:
建一個臨時的管理員帳號temporarily(臨時賬號,用完刪除)。給temporarily的登錄腳本命令:
net localgroup "power users" "domainname\domain users" /add
shutdown /l
shutdown /l
*執行加入組這個命令再強行註銷,這樣可以防止終端用戶使用這個高權限賬號
設置好上面這些後,我們就可以announce下面的用戶第一次登錄時請用temporarily帳號,當用temporarily帳號登錄註銷後再用各自的帳號登錄,這樣客戶用自己帳號登錄時就已經在本地的power users了,就有一定的權限使用之前無法用的軟件,比如:譯典通、詞霸……