将普通域用户加入到虚拟桌面的本地管理员组

  我们在实施虚拟桌面项目的过程中，用户常会有如下的需求：让登陆虚拟桌面的用户具有本地管理员的权限。

一般解决办法：我们直接在VM模板里把domain users加入到本地administrator组里，这样使每个域用户都具有本地管理员的权限。这样操作也存一个问题，每个域用户都具有本地管理员的权限，存在隐患。那么我们如何能做到只让当前登陆虚拟桌面的用户加入到本地管理员组，而不是所有domain users都加入呢？

 下面我们将使用组策略登陆脚本去解决此问题。

 

脚本说明：

1.将当前用户添加到本地管理组

2.将Domian Users从本地管理员组中删除。

将脚本保存为.bat文件（<domain>为实际的域名）

net localgroup "Administrators" /add "<domain>\%username%"

net localgroup "Administrators" /delete "<domain>\domain users"

 

 

 

1.首先在vm模板里面打开本地用户和组，右击administrators的属性，添加Domain Users，然后确定。

2.登陆域控服务器，打开组策略管理，编辑Default Domain Policy。

3.进入用户配置->windows设置->脚本（登陆/注销），右击登陆属性。

4.点击显示文件。

5.Copy脚本到此目录下面。

6.点击添加，浏览刚才的目录选择脚本，确定。

7.开始CMD，运行gpupdate /force刷新组策略。

8.此时在使用测试用户test02登陆VM，查看本地管理员组发现Domain Users已被删除，test02已经被添加到此组中。