如何更改AD域安全策略
发布网友
发布时间:2022-04-23 03:29
共2个回答
热心网友
时间:2022-04-12 16:13
---洛洛根据我的研究,在Windows系统中暂时不提供工具直接实现这种功能。您可以先将需要加入到本地管理员组的域用户放入一个OU中,然后通过组策略执行脚本来完成。下面我提供一些方法,供您参考:1.使用域管理员登陆到DC。活动目录seo2.打开记事本创建一个批处理文件,输入以下内容,并以*.bat保存:netlocalgroupadministratorsdomain\user/add其中,USER为你当前需要提升权限的用户名。3.点击“开始→运行”并输入“DSA.MSC”→打开ActiveDirector用户和计算机→右键点击需要设置的OU→“属性”→组策略→“编辑”。4.打开“计算机配置→windows设置→脚本→启动→添加*.bat文件。5.在命令提示符下输入gpupdate/force,重启计算机。TomZhang张一平在线技术支持工程师微软全球技术支持中心各位,netuser%username%administrators/add这个脚本会无法执行的。因为要想加入本地管理员组,就需要管理员权限,也就是说只能用计算机登录脚本在用户登录之前执行但此时用户还没有登录,根本无从获取%username%变量。登录之后,倒是获取到%username%变量了,但普通的users权限是不能添加管理员群组账户的。这个问题的解决方法,有二要不,用runas,使用管理员账户在用户登录之后添加,但将管理员账户和密码写在脚本里非常不安全。要不,就是只能做计算机启动脚本,将domainusers这个组添加到本地管理员群组中去。但又会让所有域用户都可以在域中任何一台电脑上,执行管理员权限,这样做也不安全。用户之所以有这样的需求,其实是为了避免用户操作或者客户端软件在域环境中遭遇的权限*问题,如果说用户这么做只是暂时的权益之计,尚可,否则就是与活动目录的宗旨背道而驰!最终的解决方法还是要解决用户在域中所遇到的问题,例如软件权限*问题的解决方法可以参考
热心网友
时间:2022-04-12 17:31
管理工具--域安全策略--软件*策略 可以对具体软件进行设置如果 客户端 加入域,默认为users组,本来就不能安装软件!!!帐户分组,然后对每个文件加 或别的对象 进行权限设置
