域控操作三点五:使用策略下发将域用户添加到本地管理员组
直接将策略写出来不附图了
服务器增加策略“本地管理员”在需要的组织单位(OU)下创建
用户配置–首选项—控制面板设置—本地用户和组–新建–本地组–选择Administrators–添加,搜索需要本地管理员的域用户,从添加/删除。
运维思路
此策略中每次更新策略都是按照策略内容进行刷新,例如:
用户1 ADD;用户2 REMOVE
则每次服务器和域用户自动刷新策略时都会进行一次添加用户1和删除用户2
因此我个人推荐的运维逻辑是保留最新的单据
例如:用户1 ADD 用户2 ADD
如果要取消用户2的本地管理员身份则改为
用户1 ADD 用户2 REMOVE
这样可以保证这个名单一直可以在所有电脑中被更新
如果过早将用户2 REMOVE删除,则可能出现有的很久没登录的电脑执行策略时并不会删除用户2 导致用户2在这个电脑一直是本地管理员身份
如果只在乎目标机器电脑而不关注其他电脑的话则可以在服务器上用户1 ADD后直接去目标电脑刷新策略,在获得本地管理员权限后将用户1 ADD删除