如何自動把域帳戶加到本地管理員組|ad活動目錄域組策略登錄腳本
如何自動把域帳戶加到本地管理員組|ad活動目錄域組策略登錄腳本。如何實現自動把域帳戶加到本地管理員組裡?如果通過腳本實現,能否提供范例?
回答:hi Simon
您可以使用net user %username% administrators /add 來添加
---洛洛
根據我的研究,在Windows系統中暫時不提供工具直接實現這種功能。您可以先將需要加入到本地管理員組的域用戶放入一個OU中,然後通過組策略執行腳本來完成。
下面我提供一些方法,供您參考:
1.使用域管理員登陸到DC。活動目錄seo
2.打開記事本創建一個批處理文件,輸入以下內容,並以*.bat保存:
net localgroup administrators domain\user /add
其中,USER為你當前需要提升權限的用戶名。
3.點擊“開始→運行”並輸入“DSA.MSC”→打開Active Director用戶和計算機→右鍵點擊需要設置的OU→“屬性”→組策略→“編輯”。
4.打開“計算機配置→windows設置→腳本→啟動→添加*.bat文件。
5.在命令提示符下輸入gpupdate /force,重啟計算機。
Tom Zhang 張一平 在線技術支持工程師 微軟全球技術支持中心
各位,net user %username% administrators /add 這個腳本會無法執行的。
因為要想加入本地管理員組,就需要管理員權限,也就是說只能用計算機登錄腳本在用戶登錄之前執行
但此時用戶還沒有登錄,根本無從獲取 %username%變量。
登錄之後,倒是獲取到 %username%變量了,但普通的users權限是不能添加管理員群組賬戶的。這個問題的解決方法,有二
要不,用runas,使用管理員賬戶在用戶登錄之後添加,但將管理員賬戶和密碼寫在腳本裡非常不安全。
要不,就是只能做計算機啟動腳本,將domain users這個組添加到本地管理員群組中去。但又會讓
所有域用戶都可以在域中任何一台電腦上,執行管理員權限,這樣做也不安全。
用戶之所以有這樣的需求,其實是為了避免用戶操作或者客戶端軟件在域環境中遭遇的權限限制問題,
如果說用戶這麼做只是暫時的權益之計,尚可,否則就是與活動目錄的宗旨背道而馳!
最終的解決方法還是要解決用戶在域中所遇到的問題,例如軟件權限限制問題的解決方法可以參考