如何在域客户端上临时授权用户为本地管理员

本文告诉你如何通过组策略中“受限制的组”的功能来实现在客户端上将AD组添加到本地管理员组。这可以临时允许一个用户或者用户组在本地实现安装或者更新软件的客户端管理行为。

 

1. 在AD中新建组。

   在AD中新建一个用于添加到所有客户端本地管理员组中的组。在此时不要添加任何用户到这个组里面。

2. 新建一个GPO

   新建一个GPO并链接到需要在客户端给予用户本地管理员权限的OU。

3. 编辑新建的GPO

   在新建的GPO中导航到“计算机配置-->策略-->Windows设置-->安全设置-->受限制的组”

4. 将你新建的AD组加入到“受限制的组”

   右键点击“受限制的组”，选择“添加组”。在弹出来的对话框中填上你新建的AD组名，点击“确定”。

5. 将受限制的组加入到本地管理员组

   右键点击刚才添加的组名，选择“属性”。点击“这个组隶属于”标题下的“添加”按钮。输入“Administrators”（没错，是Administraotrs！）点击“确定”。

6. 等待组策略更新到客户端

   当客户端接到组策略更新后，你新建的AD组将被加入到本地管理员组。当然你想立即在某个客户端更新组策略的，可以在该客户端的命令行界面（运行CMD）输入“gpupdate /force”。

7. 添加临时授权的用户或组

   现在，一切就绪。在“Active Directory用户和计算机”管理界面中将有需要的用户和组添加到刚才新建的AD组中即可实现临时将某些用户或组加入到客户端本地管理员组中。

8. ***临时授权的用户或组

   当用户或组不在需要临时授权时，你只需要在AD组中***该用户或组；并注销或重启该客户端即可。

 

本文为译文，文中内容和观点均与本人无关！

英文原文地址：http://community.spiceworks.com/how_to/show/2123-add-an-active-directory-group-to-the-local-administrator-group-of-workstation-s