关键词: 域账号, 本地管理员组 域策略

需求描述:

在域中,我们通常不会给普通域用户本地管理员身份;只会将特定域用户组加入客户机本地管理员组中。这里就涉及到了如何添加问题。

既然在域中,我们多采用域策略实现以上需求。

方法有二。

 

方法1

1.       batvbs脚本中,生成添加用户到管理员的方法

2.       在域策略中的开机脚本中调用此脚本即可

实现细节:

1.       创建Bat脚本admin.bat

Net localgroup administrators "Domain Name\User Group Name" /add

Net localgroup administrators " Domain Name \Domain User Name" /add

2.       复制bat脚本到域控的共享目录netlogon中,访问方法\\域控\netlogon

3.       打开域策略,修改开机脚本

Computer configurationàWindows Setting-àScripts(Starts up/Shutdown), 点击右侧的StartUP项, 在弹出窗口中,点击Add 按钮,浏览共享目录,选择对应脚本,

注意:路径要写共享路径而非域控中的物理路径

 

添加域账号到客户机本地管理员组_第1张图片 

这样计算机重启后,本地管理员组修改完毕。

 

方法2

       直接在域策略中添加域组到本地管理员

       实现细节:

1. 打开对应的域策略,

2. Computer configurationàWindows Settings-àRestricted Group

在右侧栏,右键新建“Administrators”组,

在窗口中点击“Add”,将域中对应的组名称加入即可

添加域账号到客户机本地管理员组_第2张图片这样无需重启,也可以更新客户机的本地管理员组信息