none
通过组策略推送一个组到计算机的本地管理员组里面 RRS feed

  • 问题

  • 通过组策略如何把一个组策略推送到计算机的本地管理员组里面;

    是通过组策略里面的计算机策略来推,还是通过用户策略来推送。

    2020年11月14日 14:27

答案

  • 您好,

    感谢您的回复。

    受限制的组这个策略的作用是:受限组允许您使用在组策略设置中配置的内容覆盖现有本地组。(本地用户和组扩展允许您修改本地组成员身份而不会覆盖现有组。)

    如果您为本地管理员组创建一个受限制的组,则GPO将覆盖现有的本地组成员身份,并将成员身份设置为GPO中已配置的任何成员。如果用户将自己添加到本地管理员组,则下次刷新策略时,本地组成员身份将重置为“受限组”中定义的成员身份。

    要实现上述作用,具体操作如下:
     
    1.新建OU(如OU1)然后添加client (如WIN8)。



    2.打开组策略管理,右击OU1,选择“在此域新建GPO,并link到此处”。(如GPO命名于Domain user added to local admin)。



    3.右击这个GPO,选择“Edit”。打开这个GPO,然后选择Computer Configuration -> Policies -> Windows Settings   -> Security Settings -> Restricted Groups。


     
    4.右击Restricted Groups,选择Add group. 点击“Browse”,在组选择下,输入“Administrators“。


     
    5. 在 “Members of this group:” 窗口下,可以点击Add,选择用户添加到本地管理员组。



    如果按照上述步骤的话,请注意:之前在本地管理员组的用户将会被移除,将会被我们新添加的用户替代。
     
    如果希望设置这个组策略,但是不希望修改本地管理员组的相关信息的话,我们可以尝试下列方式:
     
    1.2.3.同上述

    4.右击Restricted Groups,选择Add group,点击“Browse”,输入组名称(如group1)。这个组将会添加到本地管理员组。
     


    5. 在 “This group is a member of” 窗口下,可以点击Add,选择“Administrators“。



    6.以管理员身份登录客户端计算机,可以查看此计算机策略。



    希望以上的信息对您有所帮助。如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 Air_9 2020年11月18日 4:07
    2020年11月17日 1:28
  • 尊敬的客户,您好,

    感谢您的信任和支持。

    安装Active Directory时,会自动创建几个默认容器和组织单位(OU)。 默认容器是自动创建的,不能删除。
    域控制器OU是唯一的默认组织单位对象。 所有其他容器只是容器,而不是OU。
    Builtin容器包含默认服务管理员帐户和域本地安全组。 这些组是执行域管理任务所需的预分配权限。

    Builtin容器中的默认组包括:管理员。管理员组是内置容器中功能最强大的组,可以完全控制域。默认情况下,Domain Admins和Enterprise Admins组以及Administrator帐户是Administrators组的成员。

    管理员组具有对域的完整且不受限制的访问权限。直接用户权限包括:

    从网络访问此计算机,调整进程的内存配额,允许本地登录,允许通过远程桌面服务登录,备份文件和目录,绕过遍历检查,更改系统时间,更改时区,创建一个页面文件,创建全局对象,创建符号链接,调试程序,使计算机和用户帐户受信任进行委派,从远程系统强制关机,身份验证后模拟客户端,增加调度优先级,加载和卸载设备驱动程序,作为批处理作业登录,管理审核和安全日志,修改固件环境值,执行批量维护任务,配置文件单一过程,配置文件系统性能,从扩展坞中卸下计算机,恢复文件和目录,关闭系统,取得文件或其他对象的所有权

    继承的用户权限:从网络访问此计算机,将工作站添加到域,绕过遍历检查,增加流程工作集

    其中管理员用于管理域的内置帐户。

    直接用户权限:无

    继承的用户权限包括:从网络访问此计算机,将工作站添加到域,调整进程的内存配额,允许本地登录,允许通过远程桌面服务登录,备份文件和目录,绕过遍历检查,更改系统时间,更改时区,创建一个页面文件,创建全局对象,创建符号链接,调试程序,使计算机和用户帐户受信任进行委派,从远程系统强制关机,身份验证后模拟客户端,增加流程工作集,增加调度优先级,加载和卸载设备驱动程序,作为批处理作业登录,管理审核和安全日志,修改固件环境值,执行批量维护任务,配置文件单一过程,配置文件系统性能,从扩展坞中卸下计算机,恢复文件和目录,关闭系统,取得文件或其他对象的所有权

    如有其他问题,请随时联系我们。

    此致,
    Hannah Xiong



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 Air_9 2020年11月26日 15:09
    2020年11月26日 7:44

全部回复

  • 尊敬的客户,您好,

    感谢您的发帖。

    通过组策略把一个组添加到计算机的本地管理员组,我们可以配置“本地用户和组”或者“受限制的组”。

    受限制的组:Computer Configuration -> Policies -> Windows Settings   -> Security Settings -> Restricted Groups

    本地用户和组:在用户策略和计算机策略下面都有
    User Configuration -Preferences -Control Panel Settings -Local Users and Groups,
    Computer Configuration -Preferences -Control Panel Settings -Local Users and Groups.

    我们可以选择通过计算机策略来推,还是用户策略来推送。以下是本地用户和组的计算机配置,我们可以参考下步骤:

    1,打开ADUC,创建安全组,并添加用户到此安全组。



    2,创建OU,并将计算机账号添加到此OU。



    3,新建GPO,并连接到上述OU。


    4,编辑此GPO,导航到Computer Configuration -Preferences -Control Panel Settings -Local Users and Groups。
    选择“New”--“Local Group”



    5,打开local group 属性对话框,Action下选择Update (更新)。Group name下选择Administrators(built-in)。Members下面添加之前设置的安全组。


    6,配置完成后,登录客户端,管理员账户打开CMD,然后运行gpupdate /force。之后查看本地管理员组,会看到我们设置的安全组。如图:


    如有问题,请随时联系我们。

    此致,
    Hannah Xiong


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年11月16日 6:28
  • 受限制的组 这个是策略是有什么作用的吗?
    2020年11月16日 15:43
  • 您好,

    感谢您的回复。

    受限制的组这个策略的作用是:受限组允许您使用在组策略设置中配置的内容覆盖现有本地组。(本地用户和组扩展允许您修改本地组成员身份而不会覆盖现有组。)

    如果您为本地管理员组创建一个受限制的组,则GPO将覆盖现有的本地组成员身份,并将成员身份设置为GPO中已配置的任何成员。如果用户将自己添加到本地管理员组,则下次刷新策略时,本地组成员身份将重置为“受限组”中定义的成员身份。

    要实现上述作用,具体操作如下:
     
    1.新建OU(如OU1)然后添加client (如WIN8)。



    2.打开组策略管理,右击OU1,选择“在此域新建GPO,并link到此处”。(如GPO命名于Domain user added to local admin)。



    3.右击这个GPO,选择“Edit”。打开这个GPO,然后选择Computer Configuration -> Policies -> Windows Settings   -> Security Settings -> Restricted Groups。


     
    4.右击Restricted Groups,选择Add group. 点击“Browse”,在组选择下,输入“Administrators“。


     
    5. 在 “Members of this group:” 窗口下,可以点击Add,选择用户添加到本地管理员组。



    如果按照上述步骤的话,请注意:之前在本地管理员组的用户将会被移除,将会被我们新添加的用户替代。
     
    如果希望设置这个组策略,但是不希望修改本地管理员组的相关信息的话,我们可以尝试下列方式:
     
    1.2.3.同上述

    4.右击Restricted Groups,选择Add group,点击“Browse”,输入组名称(如group1)。这个组将会添加到本地管理员组。
     


    5. 在 “This group is a member of” 窗口下,可以点击Add,选择“Administrators“。



    6.以管理员身份登录客户端计算机,可以查看此计算机策略。



    希望以上的信息对您有所帮助。如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 Air_9 2020年11月18日 4:07
    2020年11月17日 1:28
  • 非常感谢。这完美的解释了我当前的疑问。
    2020年11月18日 4:11
  • 你好,我想在问下,ADUC里面这个Builtin这个OU的组有什么作用?administrators 这个组成员拥有哪些权限,会有所有计算机的本地管理员的权限吗?

    2020年11月20日 14:03
  • 尊敬的客户,您好,

    感谢您的信任和支持。

    安装Active Directory时,会自动创建几个默认容器和组织单位(OU)。 默认容器是自动创建的,不能删除。
    域控制器OU是唯一的默认组织单位对象。 所有其他容器只是容器,而不是OU。
    Builtin容器包含默认服务管理员帐户和域本地安全组。 这些组是执行域管理任务所需的预分配权限。

    Builtin容器中的默认组包括:管理员。管理员组是内置容器中功能最强大的组,可以完全控制域。默认情况下,Domain Admins和Enterprise Admins组以及Administrator帐户是Administrators组的成员。

    管理员组具有对域的完整且不受限制的访问权限。直接用户权限包括:

    从网络访问此计算机,调整进程的内存配额,允许本地登录,允许通过远程桌面服务登录,备份文件和目录,绕过遍历检查,更改系统时间,更改时区,创建一个页面文件,创建全局对象,创建符号链接,调试程序,使计算机和用户帐户受信任进行委派,从远程系统强制关机,身份验证后模拟客户端,增加调度优先级,加载和卸载设备驱动程序,作为批处理作业登录,管理审核和安全日志,修改固件环境值,执行批量维护任务,配置文件单一过程,配置文件系统性能,从扩展坞中卸下计算机,恢复文件和目录,关闭系统,取得文件或其他对象的所有权

    继承的用户权限:从网络访问此计算机,将工作站添加到域,绕过遍历检查,增加流程工作集

    其中管理员用于管理域的内置帐户。

    直接用户权限:无

    继承的用户权限包括:从网络访问此计算机,将工作站添加到域,调整进程的内存配额,允许本地登录,允许通过远程桌面服务登录,备份文件和目录,绕过遍历检查,更改系统时间,更改时区,创建一个页面文件,创建全局对象,创建符号链接,调试程序,使计算机和用户帐户受信任进行委派,从远程系统强制关机,身份验证后模拟客户端,增加流程工作集,增加调度优先级,加载和卸载设备驱动程序,作为批处理作业登录,管理审核和安全日志,修改固件环境值,执行批量维护任务,配置文件单一过程,配置文件系统性能,从扩展坞中卸下计算机,恢复文件和目录,关闭系统,取得文件或其他对象的所有权

    如有其他问题,请随时联系我们。

    此致,
    Hannah Xiong



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 Air_9 2020年11月26日 15:09
    2020年11月26日 7:44
  • 按照您这以下的方法,做完后用户登陆的计算机后是没有本地管理员的权限的,这是为什么                              


    1.2.3.同上述

    4.右击Restricted Groups,选择Add group,点击“Browse”,输入组名称(如group1)。这个组将会添加到本地管理员组。



    5. 在 “This group is a member of” 窗口下,可以点击Add,选择“Administrators“。



    6.以管理员身份登录客户端计算机,可以查看此计算机策略。



    希望以上的信息对您有所帮助。如有问题,请随时联系我们。

    此致,
    Hannah Xiong


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2020年12月2日 10:40