需求描述:
在域中,我们通常不会给普通域用户本地管理员身份;只会将特定域用户组加入客户机本地管理员组中。这里就涉及到了如何添加问题。
既然在域中,我们多采用域策略实现以上需求。
方法有二。
方法1:
1. 在bat或vbs脚本中,生成添加用户到管理员的方法
2. 在域策略中的开机脚本中调用此脚本即可
实现细节:
1. 创建Bat脚本admin.bat
Net localgroup administrators "Domain Name\User Group Name" /add
Net localgroup administrators " Domain Name \Domain User Name" /add
2. 复制bat脚本到域控的共享目录netlogon中,访问方法\\域控\netlogon
3. 打开域策略,修改开机脚本
Computer configurationàWindows Setting-àScripts(Starts up/Shutdown), 点击右侧的StartUP项, 在弹出窗口中,点击Add 按钮,浏览共享目录,选择对应脚本,
注意:路径要写共享路径而非域控中的物理路径
这样计算机重启后,本地管理员组修改完毕。
方法2:
直接在域策略中添加域组到本地管理员
实现细节:
1. 打开对应的域策略,
2. Computer configurationàWindows Settings-àRestricted Group
在右侧栏,右键新建“Administrators”组,
在窗口中点击“Add”,将域中对应的组名称加入即可
这样无需重启,也可以更新客户机的本地管理员组信息