把WIN2003的域用户添加到所有客户机的本地ADMIN组里去的了.docVIP

以前在学WIN2000 SERVER的时候，曾经看到过用脚本来实现将某个域用户添加到所有客户机的本地ADMINISTRATORS组，或者套用一个安全模板。总觉得是个比较高深莫测的东东。 自从今天RIBBON反映了她无法在本地安装/卸载软件的问题后，网管迅速作出回应，将所有的DOMAIN USERS都加入了所有的本地ADMINISTRATOR组。注意哦，并不是将DOMAIN USERS提升为DOMAIN ADMIN。他是如何在这么短的时间内实现的呢？ 用GOOGLE搜了搜，发现有人提到过利用WIN2003 域安全策略里的“受限制的组”可以实现。于是晚上回家拿自己的小局域网开刀，试验成功：） 右键打开域安全策略里的“受限制的组”，选择“添加组”： 在弹出的对话框中“浏览”： 接下来就是找到域里的Administrators组： 添加Administrators组为“受限制的组”后，就可以设置它的属性了： 点“添加”把你想添加的域用户或用户组加进来吧！ 不过要注意，我们的本意是把域用户添加到本地计算机的Administrators组中，但是刚才的操作时得该域用户成了AD的Administrators组成员，乖乖，权限大得不得了了！所以要赶紧到“AD用户与计算机”中，从Administrators组中删除刚才添加进来的域用户或用户组。 好了，现在从任意一台域工作站用那个域