none
域用户添加至本地管理员组之后会被删除,请问有什么策略会导致这种情况 RRS feed

全部回复

  • 域管理员统一添加了从管理员组中移除帐户的脚本。


    Alexis Zhang

    http://mvp.microsoft.com/zh-cn/mvp/Jie%20Zhang-4000545

    推荐以 NNTP Bridge 桥接新闻组方式访问论坛。

    本帖是回复帖,原帖作者是楼上的 <killerzero1990>;

    | 系统环境为 server 2016
    |

    2020年1月6日 15:21
  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据我们的描述,为了更好地理解我们的问题,请确认以下两点信息:

    一.您可以告知我们,域用户是如何添加在本地管理员组的吗?一般有下面两种方式:

    1,客户端计算机打开本地用户和组,右击“Administrators”,选择“Add”。将users添加到本地管理员组。(如下图)




    2,可以通过组策略,部署“受限制的组”策略,将域用户添加到本地管理员组。

    二.我们想知道,是所有的计算机都有这样的问题还是个别计算机出现这样的问题? 

    感谢您的支持。如有任何问题,请随时联系我们。


    此致,
    Hannah Xiong

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。

     

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年1月7日 7:14
  • 域控里的所有计算机都会这样

    本地管理员是从客户端里添加

    2020年1月7日 9:40
  • 应该是组策略的设置,在运行gpupdate /force命令后本地管理组里的用户会被重置
    2020年1月7日 9:57
  • 尊敬的客户,您好!

    非常感谢您的回复。依您所说,在运行gpupdate /force命令后本地管理组里面的用户会被重置,那可能是设置了某个组策略,导致了现在的这个问题。

    但是不确定具体什么组策略引起了我们的问题,经过我的搜索和研究,我发现可能是如下的组策略导致了您的问题,并且我在我的测试环境中做了如下的测试,发现每次更新组策略的时候,本地管理员组的成员都是被重置为以下的四个账户:

     


    我们在环境中做了测试,具体步骤如下:

    1,先将域用户BOOK\a添加到本地管理员组。


    2,新建一个OU(如:OU for user),然后添加用户(如:aa)


    3,新建GPO(如:added to local admin),link到OU for users,


    4,打开GPO,选择Users Configuration -Preferences -Control Panel Settings -Local Users and Groups -New -Local Group.


    5, 打开local group 属性对话框,Action下选择Update (更新)。Group name下选择Administrators(built-in)。勾选“Delete all member uses”(删除所有成员用户)。


    6,登录客户端计算机,查看Administrators属性,members里面域用户被删除。如果再次添加域用户到本地管理员组,更新组策略后,域用户再次被删除。



    实验总结:
    1.在上面的选项中,我们可以选择“Delete all member users”(删除所有成员用户)。结果是所有用户帐号被从管理员组中删除。

    2.在上面面的选择中,我们也可以选择“Delete all member groups”(删除所有成员组)。结果是所有组帐号都被从管理员组中删除,包括Domain Admins。但是administrator帐号是内置帐号,怎么设置都删除不掉。

    3. 同样的设置在用户策略和计算机策略下面都有:User Configuration -Preferences -Control Panel Settings -Local Users and Groups,Computer Configuration -Preferences -Control Panel Settings -Local Users and Groups.

    所以我们检查是否配置了以上的策略,如果是的话,配置的是用户策略还是计算机策略。

    我们可以按照以下的方法检查是否配置了相关的用户策略还是计算机策略。

    对于用户配置:
    1.使用域用户帐户登录一个客户端。
    2.在C盘创建一个名为Folder的新文件夹。
    3.打开CMD,输入gpresult / h C:\ Folder\ report.html,然后单击Enter。
    4.打开报告文件以检查“用户配置”下的策略。

    对于计算机配置:
    1.使用管理员登账户登录一个客户端。
    2.打开CMD,以管理员身份运行。
    3.输入gpresult / h C:\ report.html,然后单击Enter。
    4.打开报告文件以检查“计算机配置”下的策略。


    感谢您的支持。如有问题,请随时联系我们。



    此致,
    Hannah Xiong

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。

     

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年1月8日 10:39
  • 问题已解决、将计算机策略中,受限制的组 策略删除后就好了
    2020年1月8日 13:16
  • 尊敬的客户,您好!

    我们很开心听到问题已解决。非常感谢您的支持。


    此致,
    Hannah Xiong

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年1月9日 2:51