用组策略将域帐号加入本地管理员组的方法解析.docx

3种用组策略将域帐号加入本地管理员组的方法台湾女同事问了我2次当前系统域帐号是怎么在第一次登录时，自动加入域客户端本地管理员组的？我猜不外乎就是脚本、计算机策略或虚拟机初始化的自动应答脚本，结果系统的前任同事找到了答案--GPO的用户策略（确切讲是用户首选项），SIGN!?今天琢磨了一下，采用下列3种方法之一即可实现：1、对于WIN2003域控制器(DC)环境，使用计算机策略的“受限制的组”?2、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。3、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用计算机配置首选项中“本地用户和组”，用在将重要的域组加入客户端本地管理员组的场合。?下面让我细细道来。第1种方法的步骤很简单：.在域中创建一个test01\g1组帐号，将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组，然后把一些元素添入选项，参照本文第1幅图.刷新域客户机的组策略，就可以看到test01\g1组被自动加入到本地管理员组了，如下图?第2种方法：为了避免干扰，我创建了另一个2008R2的域来验证第2种方法，该域WINXP03客户机的初始本地管理员成员如下：为了使GPO“首选项”能作用到客户端，需要在域客户端安装客户端扩展集组件(CSE)，URL为：/zh-cn/library/cc731892(WS.10).aspx根据客户端OS类型选相应组件下载，并安装到WINXP03客户机中，如下图（XMLLite XML无需安装）：在2008R2上开始设置GPO的用户配置项，按下图添加对客户端本地Administrators的操作策略操作中的“更新”代表更新域客户端Administrators组中的成员，“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组，只要域帐号一登录，就把它加入本地管理员组现在用域帐号test02\user_1登录测试一下用户首选项策略生效，该帐号被成功加入管理员组接下来看看“删除所有成员用户”的结果?换一个test02\user_2帐号，显然，已将前面加入的user_1帐号删除，还有其他除administrator以外的用户帐号被删除（本地的USER1）??然后我们继续选删除所有成员组，并计划将本地administrator也从管理员组中删除其结果如下：1.所有用户帐号被从管理员组中删除，除当前登录用户除外。这样多个域用户帐号登录同一个客户端，只会保留最后一个登录帐号加入本地管理员，这就是咱们要的“动态”加入的效果。2.所有组帐号都被从管理员组中删除，包括Domain Admins3.administrator帐号是内置帐号，所以怎么设置都删除不掉第3种方法：刷新策略就可以看到TEST02\Domain Admins加入到客户机本地管理员组了有关冲突策略的优先级测试：接下来在保持先前用户首选项的前提下，把计算机首选项也作相同的删除用户和组操作，如下图刷新一下组策略，test02\user_1被删除，而test02\Domain Admins被加入，看起来，当计算机首选项与用户首选项冲突时，好象符合组策略的“计算机策略优先”定律，但是，且慢...如果再次注销而用user_1帐号重登录，发现test02\Domain Admins却又一次被删除，这是为什么？答案就是：首选项，并非强制的！也就是说，不仅客户端用户自己可以手动改配置（比如手动删除这里由首选项加入的域帐号），而且，后面执行的首选项会盖掉前面的。这是与组策略中的“策略”设置是完全不同的。?我们可以再验证一下上述的结论。如果我们重启客户机，然后不登录域（这样就不会使用到用户首选项），而是登录本机（此时仅计算机首选项生效）仅计算机首选项生效：注销，换个域用户帐号登录：计算机首选项设置不见了，换作用户首选项设置最后，总结一下：1、有3种方法可行，如果是03域控，用“受限制的组”，如果是08R2域控，加组帐号时可以用计算机首选项，加用户帐号时可以用用户首选项2、不要使用Windows 2008域控，要用Windows 2008R2域控，因为前者存在BUG，我遇到很多次3、首选项设置时最好选“更新”操作，且用户首选项要同时设置“删除所有成员用户”项，否则每登录一个用户，就会累加一个本地管理员帐号4、首选项是非强制性的，计算机首选项优先级并不会比用户首选项来得高，看谁最后执行5、最好不要同时设置计算机首选项和用户首选项，仅用后者也可以添加域组到本地管理员组，用多了，脑子容易短路?首选项设置中的更新、删除等4种操作的说明：/zh-cn/library/cc73252