none
如何在domain下policy將某個物件(使用者或群組)加入每台電腦的administrator本機群組裡 RRS feed

  • 問題

  • 請教前輩
    今天公司domain中大多數電腦中administrator本機群組少了欲加入某個物件(使用者或是某管理群組)
    我記得用GPO可以下Policy將我想要的物件置入administrator本機群組裡
    還是說是用別的方式
    想請教各位是否可以指示SOP
    感激不盡
    P.S.
    每台電腦的administrator本機群組已有Domain admin最高管理權限的帳號~所以可下

    2009年11月3日 上午 10:29

解答

  • Dear Augus

    您太客氣了,大家一起討論討論而以

    先來假設一下環境,你有一個網域名稱叫做AugusAD

    要把一網域中的Jason帳戶,加入到MIS OU的Administrators群組中

    那麼你可以在GPO的登出或登入加上一個叫做AddAdmin.bat的批次檔,其指令內容如下:

    net localgroup "Administrators" /add "AugusAD\Jason"

    若登入的使用者權限不足可能會失敗,你可以考慮再以runas來解決!!!
    • 已提議為解答 Vincent Lin 2009年11月4日 上午 02:27
    • 已標示為解答 Vincent Lin 2009年11月9日 上午 06:19
    2009年11月3日 下午 02:56

所有回覆

  • Dear augus

    有一個比較笨的方法,不過還蠻實用的,你可以透過GPO登入或登出的指令碼去做

    若欲加入的是一個帳號,可以透NET LocalGroup指令來辦到加到本機的某個群組中

    若是要單純的將某個domain 下的物件,應該透過上面的指令稿就可以達成了。
    2009年11月3日 下午 01:25
  • 請教前輩
    恕小弟愚昧想更了解
    如果照你的方式來看
    這個指令碼我該如何做
    可否詳細解說

    2009年11月3日 下午 02:22
  • Dear Augus

    您太客氣了,大家一起討論討論而以

    先來假設一下環境,你有一個網域名稱叫做AugusAD

    要把一網域中的Jason帳戶,加入到MIS OU的Administrators群組中

    那麼你可以在GPO的登出或登入加上一個叫做AddAdmin.bat的批次檔,其指令內容如下:

    net localgroup "Administrators" /add "AugusAD\Jason"

    若登入的使用者權限不足可能會失敗,你可以考慮再以runas來解決!!!
    • 已提議為解答 Vincent Lin 2009年11月4日 上午 02:27
    • 已標示為解答 Vincent Lin 2009年11月9日 上午 06:19
    2009年11月3日 下午 02:56
  • 我剛試過
    net localgroup administrator X /add
    X為物件
    這方法在本機試可行
    我想套在script下設policy
    每台電腦登入網域後即可執行
    我想問題應該可以解決(每台電腦都有domain admin的權限)
    還是感謝你給我方向
    這樣事情應該有所解決了
    感激不盡

    2009年11月3日 下午 03:37
  • 根據Huang Jason的建議補充一點

    如果你是要將網域內的某一群組加到本機Administrators的話
    直接把上面提到的那行指令做成.bat檔

    然後放到GPO裡面的開機登錄檔也可以..因為開機時執行該動作就不會考慮到權限的問題

    不過電腦如果都不關機..那就沒辦法套用了..
    微軟技術支援服務
    2009年11月4日 上午 02:29