組策略:特定電腦上特定使用者的管理員權限
我是一名程序員,試圖為一家小公司管理 Active Directory 設置。域控制器正在執行 Windows Small Business Server 2008。
我們有一群使用平板電腦的現場工作人員;平板電腦的 ThinkVantage 膨脹軟體的配置問題將要求這些使用者在使用平板電腦時擁有管理員權限。沒關係——當我通過電話引導他們完成修復時,他們擁有廣泛的特權很有用,所以我不是在那裡尋找解決方法。
我想使用組策略來設置以下場景:特定安全組(或組織單元)中的使用者在登錄到某個安全組(或組織單元)中的電腦時應該在 BUILTIN/Administrators 組中。如果電腦必須在 OU 中也沒關係,但我更喜歡按組分配使用者。
當然,現場工作人員不應該是其他工作站上的管理員,普通辦公室工作人員不應該是平板電腦上的管理員。
目前,這是在每台平板電腦上本地管理的,但隨著我們增加新員工,這變得越來越麻煩。
我覺得受限組是這裡的答案,但是如果沒有 AD 概念和方法的堅實基礎,我很難實現它。
這項任務的正確技術是什麼,我將如何實施它?
創建一個組來封裝使用者(Local-Admins-Tablets)並將他們添加到這個組
創建目前工作站 OU 的子 OU,並將平板電腦放在這裡(Workstations\Tablets)
創建 GPO (Local-Admins-Tablets-Policy) 並將其連結到 Workstations\Tablets OU
在 GPO 中,設置以下內容:
- Comp Config - 策略 - Windows 設置 - 安全設置 - 受限組
- 右鍵,添加組
- “管理員”,好的
- 該組的成員:myDomain\Local-Admins-Tablets
重啟電腦,完成。
請記住,設置受限組將覆蓋機器現有的本地管理員列表。如果您已經有其他使用者/組,您也需要將它們添加到此策略中。其他範例是myDomain\Domain Admins等
編輯:哦,更改 GPO 上的過濾並添加Domain Computers。最簡單的方法是使用組策略管理 MMC 管理單元(您可以從 Microsoft的遠端伺服器管理工具中獲得)