http://blog.sina.com.cn/s/blog_4ca83f830100zn8v.html
臺灣女同事問了我2次當前系統域帳號是怎麼在第一次登錄時,自動加入域客戶端本地管理員組的?我猜不外乎就是腳本、計算機策略或虛擬機初始化的自動應答腳本,結果系統的前任同事找到了答案--GPO的用戶策略(確切講是用戶首選項),SIGN!
今天琢磨了一下,採用下列3種方法之一即可實現:
1、對於WIN2003域控制器(DC)環境,使用計算機策略的“受限制的組”
2、對於WIN2008/2008R2(儘可能用R2的DC)的DC環境,使用用戶配置首選項中“本地用戶和組”.用在將登錄帳號自動加入本地管理員組的場合。
3、對於WIN2008/2008R2(儘可能用R2的DC)的DC環境,使用計算機配置首選項中“本地用戶和組”,用在將重要的域組加入客戶端本地管理員組的場合。
下面讓我細細道來。
第1種方法的步驟很簡單:
.在域中創建一個test01\g1組帳號,將要加入本地管理員組的域帳號test01\user_1加入g1組
.在組策略中在“受限制的組”上右鍵選添加組,然後把一些元素添入選項,參照本文第1幅圖
.刷新域客戶機的組策略,就可以看到test01\g1組被自動加入到本地管理員組了,如下圖
第2種方法:
爲了避免干擾,我創建了另一個2008R2的域來驗證第2種方法,該域WINXP03客戶機的初始本地管理員成員如下:
爲了使GPO“首選項”能作用到客戶端,需要在域客戶端安裝客戶端擴展集組件(CSE),URL爲:
http://technet.microsoft.com/zh-cn/library/cc731892(WS.10).aspx
根據客戶端OS類型選相應組件下載,並安裝到WINXP03客戶機中,如下圖(XMLLiteXML無需安裝):
在2008R2上開始設置GPO的用戶配置項,按下圖添加對客戶端本地Administrators的操作策略
操作中的“更新”代表更新域客戶端Administrators組中的成員,“添加當前用戶”是指添加登錄時的域帳號到客戶端本地Administrators組,只要域帳號一登錄,就把它加入本地管理員組
用戶首選項策略生效,該帳號被成功加入管理員組
換一個test02\user_2帳號,顯然,已將前面加入的user_1帳號刪除,還有其他除administrator以外的用戶帳號被刪除(本地的USER1)
然後我們繼續選刪除所有成員組,並計劃將本地administrator也從管理員組中刪除
其結果如下:
1.所有用戶帳號被從管理員組中刪除,除當前登錄用戶除外。這樣多個域用戶帳號登錄同一個客戶端,只會保留最後一個登錄帳號加入本地管理員,這就是咱們要的“動態”加入的效果。
2.所有組帳號都被從管理員組中刪除,包括DomainAdmins
3.administrator帳號是內置帳號,所以怎麼設置都刪除不掉
第3種方法:
刷新策略就可以看到TEST02\DomainAdmins加入到客戶機本地管理員組了
有關衝突策略的優先級測試:
接下來在保持先前用戶首選項的前提下,把計算機首選項也作相同的刪除用戶和組操作,如下圖
刷新一下組策略,test02\user_1被刪除,而test02\DomainAdmins被加入,看起來,當計算機首選項與用戶首選項衝突時,好象符合組策略的“計算機策略優先”定律,但是,且慢...
如果再次註銷而用user_1帳號重登錄,發現test02\DomainAdmins卻又一次被刪除,這是爲什麼?
答案就是:首選項,並非強制的!也就是說,不僅客戶端用戶自己可以手動改配置(比如手動刪除這裏由首選項加入的域帳號),而且,後面執行的首選項會蓋掉前面的。這是與組策略中的“策略”設置是完全不同的。
我們可以再驗證一下上述的結論。如果我們重啓客戶機,然後不登錄域(這樣就不會使用到用戶首選項),而是登錄本機(此時僅計算機首選項生效)
1、有3種方法可行,如果是03域控,用“受限制的組”,如果是08R2域控,加組帳號時可以用計算機首選項,加用戶帳號時可以用用戶首選項
2、不要使用Windows2008域控,要用Windows2008R2域控,因爲前者存在BUG,我遇到很多次
3、首選項設置時最好選“更新”操作,且用戶首選項要同時設置“刪除所有成員用戶”項,否則每登錄一個用戶,就會累加一個本地管理員帳號
4、首選項是非強制性的,計算機首選項優先級並不會比用戶首選項來得高,看誰最後執行
5、最好不要同時設置計算機首選項和用戶首選項,僅用後者也可以添加域組到本地管理員組,用多了,腦子容易短路
首選項設置中的更新、刪除等4種操作的說明:
http://technet.microsoft.com/zh-cn/library/cc732525(WS.10).aspx
額外的一個好習慣:不要把計算機策略和用戶策略定義在一個GPO中,而要分成2個GPO,這樣會更加的清晰.比如定義一個Sales_Dept_Comp_Pol和Sales_Dept_User_Pol,然後前者中只定義計算機策略,後者當中只定義用戶策略,以後維護一看名字就區分出來了.並且Comp_OU與User_OU也分開,前者只放計算機對象,後者只放用戶對象,組策略便可一一對應上,這樣就不容易搞得神經錯亂了!