我是一名程序员,试图为一家小公司管理Active Directory设置。域控制器正在运行Windows Small Business Server 2008。
我们拥有使用平板电脑的现场工作人员;平板电脑的ThinkVantage bloatware的配置问题将要求这些用户在使用平板电脑时具有管理员权限。没关系–当我通过电话指导他们进行修复时,对他们来说具有广泛的特权很有用,因此我不在那儿寻找解决方法。
我想使用组策略来设置以下方案:登录到特定安全组(或组织单位)中的计算机时,特定安全组(或组织单位)中的用户应位于BUILTIN / Administrators组中。没关系,如果计算机必须位于OU中,但我希望按组分配用户。
当然,现场工作人员不应该是其他工作站上的管理员,而普通的办公室工作人员也不应该是平板电脑上的管理员。
目前,这是在每台平板电脑上本地管理的,但是随着我们增加新员工,它变得越来越麻烦。
我觉得受限制的群体是这里的答案,但是如果没有扎实的AD概念和方法基础,我很难实现它。
什么是执行此任务的适当技术,我将如何实施它?
Answers:
创建一个组来封装用户(Local-Admins-Tablets)并将其添加到该组
创建当前工作站OU的子OU,并将平板电脑放在此处(工作站\平板电脑)
创建一个GPO(Local-Admins-Tablets-Policy)并将其链接到Workstations \ Tablets OU
在GPO中,设置以下内容:
重新启动PC,然后完成。
请记住,设置“受限制的组”将覆盖计算机现有的本地管理员列表。如果已经有其他用户/组,则也需要将其添加到此策略中。其他示例是myDomain \ Domain Admins等
编辑:哦,更改GPO上的筛选并添加域计算机。最简单的方法是使用组策略管理MMC管理单元(可以从Microsoft 的“ 远程服务器管理工具”中获取)。
如果您不关心管理员组是否将有效地锁定在本地计算机的将来更改范围之外,则Izzy的答案很好。在应用策略设置之前,这还将清除所有已经是Administrators组成员的组。
但是,您可以略微不同的方式使用相同的策略设置来绕开这些烦恼(假设您甚至将其视为烦恼)。
这是两个部分的工作方式之间的细微但重要的区别。 该组的成员实际上是“组A仅包含组X,Y和Z”。该组是有效地制定为“确保组A是组X,Y和Z的成员”的成员。
与该网上论坛的成员设置策略后,唯一可以修改该网上论坛成员资格的东西是一个覆盖策略对象,该对象也使用此网上论坛的成员,或者使用该网上论坛的其他任何策略都是该网上论坛的成员。
似乎您真正需要做的就是创建一个将域组添加到本地管理员组的组策略。使用简单的启动脚本或使用组策略首选项即可轻松完成此操作。
简单的启动脚本来添加组成员。
DomainName="example"
Set oShell = WScript.CreateObject("WScript.Shell")
Set oProcsEnv = oShell.Environment("Process")
ComputerName = oProcsEnv("COMPUTERNAME")
Set oGroup = GetObject("WinNT://" & ComputerName & "/" & "Administrators")
If Not oGroup.IsMember("WinNT://"&DomainName&"/_Group_Tablet_Admins") Then _
oGroup.Add ("WinNT://"&DomainName&"/_Group_Tablet_Admins")
您说增加新员工是一件麻烦事,但不应该增加麻烦的新平板电脑吗?
我会按照以下方式做一些事情:
具有一个域安全组,其中包含应该成为Tablet PC管理员的所有用户(即TabletAdministrators)。
在每个平板电脑上,将该组添加到Administrators组。
我不知道这是否合适。这只是我如何实现的第一个想法。
我编写了一个脚本,该脚本在本地工作站上作为具有管理权限的计算机策略运行。它会检查AD中最后一个登录用户的描述,该域管理员可以从“ Active Directory用户和计算机”中设置域管理员,如果其中包含工作站名称,则脚本会将用户添加到本地管理组中(如果工作站名称不在本地管理员组中)。用户的描述,它将用户从本地管理员组中删除。描述可以包含多个计算机名称,如下所示:
用户的描述:“ WKST-E445R和WKST-VM398上的本地管理员”
因此,要使某人仅在一台计算机上成为本地管理员,我只需要将此计算机的名称添加到AD中的用户说明中,并要求用户重新启动,删除计算机名称将删除本地管理员权限。
那不是最整洁的解决方案吗?:-)
这是脚本:
@if "%debug%" neq "%username%" echo off
set ver=MakeLocalAdmin.cmd henrik@c o m m o r e.se 20150423
:: Adds last logged on domain user to local Administrators group if run by computer GPO with Administrative rights and the user's Comment contains Computername
set log=nul
:: or set log=c:\logs\MakeLocalAdmins.txt
:: Check who was last logged on user
FOR /F "tokens=3 delims= " %%G in ('reg query "hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v LastLoggedOnUser') DO (
set DomainAndUserName=%%G)
:: Remove the spaces
set DomainAndUserName=%DomainAndUserName: =%
:: Get only username part
set LastLoggedOnUserName=%DomainAndUserName:*\=%
:: Check OS language, so we can adapt to localized name of Admin group and Comment
FOR /F "tokens=3 delims= " %%G in ('reg query "hklm\system\controlset001\control\nls\language" /v Installlanguage') DO (
set Language=%%G)
echo %date% %Time% ; %0 ; %computername%; %LastLoggedOnUserName%; %DomainAndUserName%, %Language% >> %log%
goto %Language%
:: Add any langauage specific part below, but if an unknown install language is found,
:: an error 'label not found' should mean script terminates, but anyway make sure it terminates.
goto end
:0409
:: English
net user /domain %LastLoggedOnUserName% | find "Comment " | find "%computername%" >> %log%
set NoLocalAdmin=%errorlevel%
if %NoLocalAdmin% equ 0 net localgroup Administrators /add "%DomainAndUserName%" >> %log%
if %NoLocalAdmin% equ 1 net localgroup Administrators /del "%DomainAndUserName%" >> %log%
goto end
:041D
:: Swedish
:: †„” åäö (Swedish char's)
net user /domain %LastLoggedOnUserName% | find "Kommentar " | find "%computername%" >> %log%
set NoLocalAdmin=%errorlevel%
if %NoLocalAdmin% equ 0 net localgroup Administrat”rer /add "%DomainAndUserName%" >> %log%
if %NoLocalAdmin% equ 1 net localgroup Administrat”rer /del "%DomainAndUserName%" >> %log%
goto end
:end