[域用户本地权限设置.doc

域用户本地权限设置文档 情况说明 本章节内容将会对域环境中的本地权限进行一些说明，并且会说明为什么域用户登陆本地机器后不能安装服务的原因，下一章节将会给出具体解决步骤，如急需解决问题的情况下可直接跳过本章节阅读下一章节内容。 在AD上建立域用户的时候，默认是隶属于Domain Uses用户组 我们登陆到加入域的客户端机器上，打开用户管理模块，我们可以发现，Domain Users组只隶属于本地的Users组，在本地的administrators组中没有Doamin Users组；然而安装windows服务必须是本地administrators组中的用户才可以安装。 从上图中可以看到，Domain Admins组默认就是在本地的administratos组中的，这就解释了为什么通常情况下本地管理员和域管理员都能安装windows服务。 但是有些ghost安装的winXP会把本地administrators组中的Domain admins删除，后果就导致了只有本地管理员能安装windows服务，域管理员不能安装windows服务。 为了能使加入域的客户端电脑能够安装windows服务，就需要获得本地的administrators组的权限，有如下几种方法 通过组策略强制把Domain Admins加入到每个客户端的本地administrators组中，然后通过大通的权限获取机制安装大通windows服务。 通过组策略把Domain Users加入到每个客户端的本地administrators组中，这样所有登陆的域用户都可以安装服务，全部安装完成后再通过组策略把Domain Users从每个客户端的本地administrators组中移除。 下一章节就是解决步骤。 解决步骤 方法1： 创建datong.vbs，内容如下： Set ws = WScript.CreateObject ( WScript.Shell ) compname = ws.ExpandEnvironmentStrings ( %COMPUTERNAME% ) Set adGrp = GetObject ( WinNT:// compname /Administrators,group ) adGrp.Add ( WinNT://Domain Admins,group ) 在AD中右键点击“域（例如EASTRJ.COM）”——属性——组策略 “新建”——“组策略名称随便取”——“编辑” 计算机配置——windows设置——脚本——启动 点击“显示文件”，把datong.vbs拷贝到目录中 回到策略界面，点击添加，把datong.vbs加入启动策略。 完成后，客户端策略刷新（手动刷新命令是gpupdate /force），电脑重启后就有权限了。 方法2： 添加策略的操作步骤与方法1完全相同，增加权限的脚本和删除权限的脚本如下： 添加权限datong.vbs： Set ws = WScript.CreateObject ( WScript.Shell ) compname = ws.ExpandEnvironmentStrings ( %COMPUTERNAME% ) Set adGrp = GetObject ( WinNT:// compname /Administrators,group ) adGrp.Add ( WinNT://Domain Users,group ) 删除权限datong_del.vbs strComputer = . On Error Resume Next Set oGroupAdm = GetObject(WinNT:// strComputer /Administrators) For Each oAdmGrpUser In oGroupAdm.Members sAdmGrpUser = LCase(oAdmGrpUser.Name) If (sAdmGrpUser administrator) And (sAdmGrpUser domain admins) Then oGroupAdm.Remove oAdmGrpUser.ADsPath End if Next