Windows-Server-2003

如何在 Active Directory GPO 上為本地使用者設置使用者權限分配?

  • November 7, 2012

我們有一個我工作的過程,對活動目錄 GPO 的任何更改都在測試伺服器上執行、備份,然後將備份應用於實時 AD。

我正在修改 GPO,我想在其中專門添加使用者帳戶的使用者權限分配,該使用者帳戶將在 GPO 將應用到的成員伺服器上本地存在。

我嘗試將 BUILTIN 這個詞添加到該使用者的前面,我嘗試使用 migtables,我嘗試在域上創建使用者(但最終嘗試將使用者權限應用於該域使用者如果他存在,請命名..)。

不知道該怎麼做,Google搜尋得出了很多結果,這些結果往往不會導致這種情況的任何地方(本地、使用者、組、策略所有非常常見的術語一起)。

有什麼建議的方法嗎?

也許,您可以嘗試以下方法:

  1. 在本地為使用者創建一個單獨的組。
  2. 創建 GPO 並將 GPO 中的受限組配置為僅應用於在步驟 1 中創建的本地組。

組策略受限組說明

如果您點擊連結,文章中會提到這一點:

受限組是一種客戶端配置方式,不能與域組一起使用。受限組專門用於與本地組一起工作。

如果您將在每個成員伺服器上使用相同的本地帳戶名稱,您可以在 GPO 中像這樣輸入它:

.\localUsername

.\ 符號僅指應用 GPO 中的設置時的本地電腦。它類似於輸入 domainName\accountName。

如果您將在每個成員伺服器上使用不同的帳戶名,那麼該解決方案將不優雅。這種方法需要您為每個成員伺服器的使用者權限分配創建一個唯一的 GPO,或者將所有內容輸入一個醜陋(且不太安全)的 GPO,如下所示:

server1\localUsername1, server2\localUsername2, server*N*\localUsername*N*

您可以做的最好的事情是創建域服務帳戶而不是本地帳戶。

希望這可以幫助。

引用自:https://serverfault.com/questions/445962