我有一个Windows 2008R2 DC(仅安装程序),我们已经有大约25个Windows 7专业版/最终版客户端,我们现在将加入我们的新域/ dc中。用户已经在使用计算机,并且是该计算机上的本地管理员。
我想通过GPO部署一个USER,该USER可以在每个LOCAL Windows 7框上创建并具有本地管理员权限,或者是一个在域中的每台PC上都具有LOCAL管理员权限的Domain用户(Windows XP,7)。
如果有人可以提供帮助,将不胜感激-我确实尝试过自行创建用户,但无法创建,我使用Computer SettingsGPO Edit中的组来创建用户。
感谢您的阅读-期待您的指导Rihatum
Answers:
我的第一个建议是您将这些管理员权限从用户手中夺走。最终将使您的生活更加轻松。非常方便!用户倾向于在管理员时真正搞乱计算机...病毒,间谍软件,工具栏,垃圾免费软件,更改此设置,删除此文件...只是不处理它。
话虽如此,如果您确实必须授予用户管理员权限,则可以轻松创建一个在每台PC上都具有本地管理员权限的域用户。首先在AD中创建一个用户。然后创建一个组策略,并将其应用于所有工作站。在此组策略中,深入了解以下内容:
计算机配置->策略-> Windows设置->安全设置->受限组
添加一个新的受限组,并确保Domain Admins和您刚刚创建的用户是该组的成员。这将不允许您将任何其他本地管理员添加到这些计算机,而只会完成您想要做的事情。
其他答案很好地说明了这一点,但是我只想提一下,组策略客户端首选项是用于管理本地用户和组的另一个不错的选择,它比受限制的组更具灵活性(但客户端兼容性较差)。
http://www.windowsecurity.com/articles/using-restricted-groups.html
应该使用安全性原则。创建一个桌面管理组,向其中添加用户,然后将其添加到受限组中。