如何通过组策略将指定用户加入本地计算机管理员组
2013-09-10 14:21
751 查看
企业里面如果使用AD进行人员和计算机的管理,企业中一般会设定一个Helpdesk的职位,是公司的IT人员,负责公司员工计算机的日常问题,在很多情况下需要Helpdesk对计算机具有本地管理员权限才能对计算机的软件、系统之类的进行设置,所以我们需要在AD的组策略中设置将Helpdesk用户加入到所有员工计算机的Administrators组中。
我们为保证服务器的安全禁止Helpdesk用户远程连接服务器,禁止其对服务器计算机的管理员身份,所以禁止将Helpdesk用户组加入到服务器的Administrators组中。但是另外一个问题就是公司的服务器也是在域中的,服务器计算机会和员工的计算机都在同一个OU下,而且对AD中的所有计算机OU进行调整可能会出现相关的业务系统发生错误的情况(好像调整服务器OU,Exchange服务会出错),所以OU也不能调整。那么这个该怎么实现这个限制呢?
比较简单有效的方法是对整个域用户设置一个组策略,该组策略实现将Helpdesk用户组添加到本地计算机中,同时对该组策略的安全作出限制,对所有服务器计算机deny其“应用组策略”。具体操作是这样的:
(1)在AD中新建Helpdesk用户组,添加相关的Helpdesk用户,新建ServerComputer组,将所有的服务器添加到该组中。
(2)在DC上打开“AD用户和计算机”,打开域的属性窗口,在组策略选项卡中单击“打开”按钮打开组策略管理,
新建一个组策略Helpdesk,并将该组策略链接到域上,对所有域用户生效,如图:
(3)右击“Helpdesk”,在弹出式菜单中选择“编辑”,那么就可以弹出我们熟悉的组策略编辑器了。
(4)依次展开“计算机设置”、“Windows设置”、“安全设置”、“受限制的组”,然后新建组“Helpdesk”,这个组隶属于“Administrators”组,如图:
这样设置后所有域中的计算机在应用策略后都会将Helpdesk组添加到本地的Administrators组中。
(5)右击左侧控制栏的“Helpdesk[xxx.com]策略”,在弹出式菜单中选择“属性”选项,并切换到安全选项卡,添加服务器计算机组ServerComputer,然后在下面的权限中设置其拒绝应用组策略。
(6)“确定”,完成组策略的设置。这个时候在员工计算机上运行gpupdate /force可以强制马上刷新组策略,看到Helpdesk已经添加到Administrators组中。但是现在如果登录服务器也可以看到,Helpdesk也会被加入到Administrators组中,为什么呢?
因为计算机被加入到组中后计算机如果没有重启,那么他是不知道自己在这个组中的,所以组中的计算机必须重启!重启后就可以看到Helpdesk是不会被添加到Administrators组中的。
服务器需要24小时运行,不允许重启怎么办?可以将服务器一台一台的添加到(5)步中的安全控制中,分别对每一台计算机设置拒绝应用组策略即可。
【说明:为什么有些人在DC服务器上打开的组策略管理不是(2)中的截图那样的呢?那是因为需要安装GPMC,参见http://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpmcinad.mspx】
我们为保证服务器的安全禁止Helpdesk用户远程连接服务器,禁止其对服务器计算机的管理员身份,所以禁止将Helpdesk用户组加入到服务器的Administrators组中。但是另外一个问题就是公司的服务器也是在域中的,服务器计算机会和员工的计算机都在同一个OU下,而且对AD中的所有计算机OU进行调整可能会出现相关的业务系统发生错误的情况(好像调整服务器OU,Exchange服务会出错),所以OU也不能调整。那么这个该怎么实现这个限制呢?
比较简单有效的方法是对整个域用户设置一个组策略,该组策略实现将Helpdesk用户组添加到本地计算机中,同时对该组策略的安全作出限制,对所有服务器计算机deny其“应用组策略”。具体操作是这样的:
(1)在AD中新建Helpdesk用户组,添加相关的Helpdesk用户,新建ServerComputer组,将所有的服务器添加到该组中。
(2)在DC上打开“AD用户和计算机”,打开域的属性窗口,在组策略选项卡中单击“打开”按钮打开组策略管理,
新建一个组策略Helpdesk,并将该组策略链接到域上,对所有域用户生效,如图:
(3)右击“Helpdesk”,在弹出式菜单中选择“编辑”,那么就可以弹出我们熟悉的组策略编辑器了。
(4)依次展开“计算机设置”、“Windows设置”、“安全设置”、“受限制的组”,然后新建组“Helpdesk”,这个组隶属于“Administrators”组,如图:
这样设置后所有域中的计算机在应用策略后都会将Helpdesk组添加到本地的Administrators组中。
(5)右击左侧控制栏的“Helpdesk[xxx.com]策略”,在弹出式菜单中选择“属性”选项,并切换到安全选项卡,添加服务器计算机组ServerComputer,然后在下面的权限中设置其拒绝应用组策略。
(6)“确定”,完成组策略的设置。这个时候在员工计算机上运行gpupdate /force可以强制马上刷新组策略,看到Helpdesk已经添加到Administrators组中。但是现在如果登录服务器也可以看到,Helpdesk也会被加入到Administrators组中,为什么呢?
因为计算机被加入到组中后计算机如果没有重启,那么他是不知道自己在这个组中的,所以组中的计算机必须重启!重启后就可以看到Helpdesk是不会被添加到Administrators组中的。
服务器需要24小时运行,不允许重启怎么办?可以将服务器一台一台的添加到(5)步中的安全控制中,分别对每一台计算机设置拒绝应用组策略即可。
【说明:为什么有些人在DC服务器上打开的组策略管理不是(2)中的截图那样的呢?那是因为需要安装GPMC,参见http://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpmcinad.mspx】
相关文章推荐
- 如何通过组策略将指定用户加入本地计算机管理员组
- 如何通过组策略将指定用户加入本地计算机管理员组
- 技术QA:如何在 Windows Server 2008 中通过组策略向计算机或用户部署网络打印机? 推荐
- 添加域后如何将域用户加入本地管理员组
- 通过组策略禁止有本地管理员权限的域用户更改网络配置
- 如何在 Windows Server 2008 中通过组策略向计算机或用户部署网络打印机?
- C语言把内存的文件保存到硬盘时如何把文件名由用户通过屏幕自己设置,并且保存到指定的路径
- Windows Server 2012 AD DS环境下域用户自动加入本地管理员组 推荐
- 将登录用户加入本地管理员组!
- 如何通过注册表修改桌面计算机/用户文档图标
- 技术QA:如何修改受限用户将计算机加入域的个数?
- SAP ABAP/4学习---如何给写好的一个程序分配事务代码,用户可以直接通过事务码来访问程序.或者加入收藏夹(9)
- 在域中的计算机中加入一个本地管理员帐户
- 用命令创建用户并加入到本地管理员组中
- 每一天都有更多的数据、用户和应用在加入Apache Hadoop这个日益壮大的集群中来。虽然对于整个数据驱动的组织来说这是一个好消息,但对于安全管理员和监察人员来说,如何让终端用户在现存的Hadoop
- 3种用组策略将域帐号加入本地管理员组的方法
- 如何使新加入域的计算机帐户加入指定的ou,即重定向计算机
- 组策略之——自动将登陆用户加入到本地管理员组
- 金蝶K3,域环境中,无本地用户管理员权限的域用户如何设置注册表权限?
- 如何限制IP和指定用户,通过SSH登陆linux服务器