none
如何將 domain user 加入 local administrators 群組 RRS feed

  • 問題

  • 如何可以自動化

    將 domain user或群組 加入大量網域工作站中的 local administrators 群組

     

    2007年3月13日 上午 04:14

解答

  • 將要套用此功能的電腦放在 OU 內

    使用 [群組原則] 的 [限制性群組]

    將 Administrators 加入 網域內的 User

    這樣就可以了

    當那些電腦的群組原則套用生效之後

    這些成員就自動成為該電腦 Local Administrators 的成員

    而且也不能被用戶自行移除

    ps. 用戶端電腦套用群組原則生效的方式如下:

    1. 自動: 90min加上30min以內的亂數時間

    2. 手動: 重新啟動或輸入 gpupdate /force

     

    2007年3月13日 上午 07:06
  • 有很多可能會導致這個情況發生, 請參考下列連結處理:

     

    這個問題的發生原因,是因為本機「群組原則」資料庫檔案損毀

    http://support.microsoft.com/kb/278316

     

    A conflict in Group Policy can cause these events to occur

    http://support.microsoft.com/kb/260715/EN-US/

     

    其他可能的原因請至MS網站搜尋, 就能有許多結果

    看看哪個情形符合自己的狀況, 才能予以解決

    2007年4月8日 上午 09:43
  • 1 AD 內建的 OU 是 Domain Controllers, 其中放的是 DC 的電腦帳號, 用來管控 DC 的安全性

       其他的電腦帳號預設是放在 Computers 的 Container 內, 這不是 OU, 且無法設定 Group Policy

       此外企業內的電腦會因各種因素而有不同的管理需求, 所以應該要建立不同的 OU, 將電腦帳號

       放在對應的 OU 內, 再套用其相關的 Group Policy

     

    2. 所加入的用戶, 是要讓那些電腦將此用戶自動成為其 Local Administrators 群組的成員, 這也是

        樓主希望達成的目標, 完全跟你說的 安全性 權限設定無關喔

    2007年4月9日 上午 03:48
  • 你的問題在於 "受限群組群組" 裡設定群組時做錯了

     

    在這裡不是新增一個 TEST 的群組, 而是要輸入 Administrators 此群組名

    然後在接下來出現的視窗中, 點選上方的 [新增] 按鈕

     

    再將要成為這些電腦本機管理員群組成員的網域用戶加入

    這樣即可, 加油喔

    2007年4月11日 下午 04:05
  • 不客氣啦

    應該是群組原則重新整理的生效時間還沒到

    導致你在測試時看不到想要的結果

    通常我們在測試時

    為了讓其立即生效

    都會在測試電腦上手動輸入指令:

    Xp, WS2003 ==>   Gpupdate.exe (/Force)

    W2k             ===> Secedit.exe /RefreshPolicy Machine_Policy (/EnForce) __ for 電腦設定

                                 Secedit.exe /RefreshPolicy User_Policy (/Enforce)       __ for 使用者設定

    其中 () 內的參數是當無變更的設定也要套用時加的

    2007年4月15日 上午 07:22
  • 1. 是當群組原則重新整理之後就會恢復GPO控制的設定內容

     

    2. 如果是這樣的要求, 恐怕再用戶端本機電腦設定會比較理想

     

    不過, 企業管控的角度, 是不該讓用戶成為本機Administrators成員的

    否則該電腦將無從管控喔!

     

    建議思考一下這個...

    2007年4月23日 上午 09:01
  • 的確有許多軟體, 如果用戶身分的權限不足時, 執行是會有問題

    但大多數一般用途的軟體逐漸都已考慮到這個狀況

    只有在安裝時必須具備足夠的能力

     

    針對這些少數軟體與工具, 可以考慮使用其新版本或驅動程式

    如仍有此現象, 則需與廠商聯繫反映, 以尋求解決

     

    此外, 也可以考慮將這些特定用戶, 隔離於內部網路的另一區域

    以免因其權限過大, 遭受危害時導致企業網路正常運作的干擾

    2007年4月24日 上午 02:34

所有回覆

  • 將要套用此功能的電腦放在 OU 內

    使用 [群組原則] 的 [限制性群組]

    將 Administrators 加入 網域內的 User

    這樣就可以了

    當那些電腦的群組原則套用生效之後

    這些成員就自動成為該電腦 Local Administrators 的成員

    而且也不能被用戶自行移除

    ps. 用戶端電腦套用群組原則生效的方式如下:

    1. 自動: 90min加上30min以內的亂數時間

    2. 手動: 重新啟動或輸入 gpupdate /force

     

    2007年3月13日 上午 07:06
  • 感謝您解決我的問題,

    照您提供的方式解決了

    但是在DC上的事件檢示器的應用程式中每五分鐘就會出現

    安全性原則傳播中含有警告 0x4b8:發生延伸錯誤

    我的 dc 是 win2003

    2007年4月7日 上午 07:12
  • 有很多可能會導致這個情況發生, 請參考下列連結處理:

     

    這個問題的發生原因,是因為本機「群組原則」資料庫檔案損毀

    http://support.microsoft.com/kb/278316

     

    A conflict in Group Policy can cause these events to occur

    http://support.microsoft.com/kb/260715/EN-US/

     

    其他可能的原因請至MS網站搜尋, 就能有許多結果

    看看哪個情形符合自己的狀況, 才能予以解決

    2007年4月8日 上午 09:43
  • 許先生您好

     

    您這篇回答我很需要,可是不了解的地方是否可以解答一下

    1.需要套用此功能電腦的電腦套用到OU裡,可是基本上在AD裡不是已經有一個OU是存放電腦的資料嗎,是否還需要另外再開一個OU來存放這些資料.

    2."使用 [群組原則] 的 [限制性群組]將 Administrators 加入 網域內的 User"這段話我有一點不明瞭,第一如果將Administrator賦予USER的話,這樣USER不就具有管理者的權限,第二您這段話是不是要將"Active Directory 使用者及電腦"裡的檢視-進階功能打開,在電腦的OU裡之安全性加入USER的帳號.

     

    感謝您的幫忙.

    2007年4月8日 下午 04:55
  • 1 AD 內建的 OU 是 Domain Controllers, 其中放的是 DC 的電腦帳號, 用來管控 DC 的安全性

       其他的電腦帳號預設是放在 Computers 的 Container 內, 這不是 OU, 且無法設定 Group Policy

       此外企業內的電腦會因各種因素而有不同的管理需求, 所以應該要建立不同的 OU, 將電腦帳號

       放在對應的 OU 內, 再套用其相關的 Group Policy

     

    2. 所加入的用戶, 是要讓那些電腦將此用戶自動成為其 Local Administrators 群組的成員, 這也是

        樓主希望達成的目標, 完全跟你說的 安全性 權限設定無關喔

    2007年4月9日 上午 03:48
  • 許先生

     

    感謝您的回覆,我依照您之前的做法設定群組原則好像Domain User沒有在Local成為Administrator,以下是我的做法還請您指點一下

     

    在"Active Directory 使用者及電腦"裡建立一個OU,將需要設定的電腦放置到這個OU裡,在這OU裡設定一個群組原則,此群組原則裡的"電腦設定"-"Windows設定"-"受限群組"(不知道是不是您說的限制性群組)裡設定一個TEST的群組,將TEST群組之成員設定為Domain User或User群組,隸屬於設定為Administrators,在PC端下gpupdate /force指令,可是Domain User都無法獲得Administrator的權限.

     

    不知道是哪部分設定有異常,還請您告知,或是有參考文件可供學習.

     

    AnLom

    2007年4月11日 下午 03:56
  • 你的問題在於 "受限群組群組" 裡設定群組時做錯了

     

    在這裡不是新增一個 TEST 的群組, 而是要輸入 Administrators 此群組名

    然後在接下來出現的視窗中, 點選上方的 [新增] 按鈕

     

    再將要成為這些電腦本機管理員群組成員的網域用戶加入

    這樣即可, 加油喔

    2007年4月11日 下午 04:05
  • 剛實做後,發現在本機administrator群組裡並不會出現該帳號,

    但權限部分是OK的,這樣是正常現象嗎?謝謝!!

    2007年4月12日 上午 01:47
  • 許先生

     

    感謝您的幫忙,已經可以使用了.

     

    AnLom

    2007年4月12日 上午 02:18
  • 感謝許老師您的回覆

    我找到問題,也提供大家們參考

     

    原來是我把這個GPO的設定放到 Domain Policy 之下

    而這個原則與 buitin內的 Administrators 群組相衝突而產生這個警告訊息

    (如此解釋不知是否正確)

     

    原本想簡化套用範圍,所以直接將新建的gpo放在domain 之下

    將此gpo移至各地的電腦ou下就解決這個問題了

     

    2007年4月14日 上午 08:48
  • 不客氣啦

    應該是群組原則重新整理的生效時間還沒到

    導致你在測試時看不到想要的結果

    通常我們在測試時

    為了讓其立即生效

    都會在測試電腦上手動輸入指令:

    Xp, WS2003 ==>   Gpupdate.exe (/Force)

    W2k             ===> Secedit.exe /RefreshPolicy Machine_Policy (/EnForce) __ for 電腦設定

                                 Secedit.exe /RefreshPolicy User_Policy (/Enforce)       __ for 使用者設定

    其中 () 內的參數是當無變更的設定也要套用時加的

    2007年4月15日 上午 07:22
  • 不好意思,

    請教一下許先生或各位先進,

    我在GPO裡將「限制性群組」將Administrators加入Domain user後,發現兩個問題,

    1、我的Client原本有一些user帳號(Domain或本機皆有)是屬於Client本機Administrator群組,在更改GPO後,全部都被GPO overwrite成限制性群組的設定,不知是否有方法可解決?

    2、在新增限制性群組後,就算限制性群組取消了,Client端的Administrators群組仍維持相同的user,也就是Domain每一個人仍然為任一台電腦的Administrator,感覺起來好像覆水難收,在安全控管上不是很好,請教是否有Solution可解決!

    2007年4月17日 下午 02:15
  •  MVP Taiwan 許俊龍 Andy Hsu 寫信:

    將要套用此功能的電腦放在 OU 內

    使用 [群組原則] 的 [限制性群組]

    將 Administrators 加入 網域內的 User

    這樣就可以了

    當那些電腦的群組原則套用生效之後

    這些成員就自動成為該電腦 Local Administrators 的成員

    而且也不能被用戶自行移除

    ps. 用戶端電腦套用群組原則生效的方式如下:

    1. 自動: 90min加上30min以內的亂數時間

    2. 手動: 重新啟動或輸入 gpupdate /force

     

     

    請教 許'R

    1. 承上你的回覆," 不能被用戶自行移除 "

        是指當下可以移除,但重開機後該帳號還是會自動出現在local administrators裡是吧 ?

    2. 若希望每台PC 使用人僅能用自己帳號當 administrator,承上推理

        是不是 100 台PC就要建 100個 OU 然後一台一台的導入 ??

        如果是,請問有沒有更聰明點的辦法??多謝指教。

       

    2007年4月23日 上午 03:27
  • 1. 是當群組原則重新整理之後就會恢復GPO控制的設定內容

     

    2. 如果是這樣的要求, 恐怕再用戶端本機電腦設定會比較理想

     

    不過, 企業管控的角度, 是不該讓用戶成為本機Administrators成員的

    否則該電腦將無從管控喔!

     

    建議思考一下這個...

    2007年4月23日 上午 09:01
  • Dear 許'R

           是的 , 本人嘗試將Domain User 加入本機 Power Users 群組,但系統有時會出現

           一些奇奇怪怪問題,有時執行軟體會出現程式錯誤,或是有傳真功能的印表機

           會無法傳真,Dr.98 的軟體有時會無法出現電子字典,等等的小問題。但一旦

           加入本機 administrators 群組後就全部OK了。

           請教 許'R ,以上問題除了加入本機 administrators 群組方法外,還有其他辦法嗎 ??

           感激不盡。

     
            

     

    2007年4月24日 上午 02:10
  • 的確有許多軟體, 如果用戶身分的權限不足時, 執行是會有問題

    但大多數一般用途的軟體逐漸都已考慮到這個狀況

    只有在安裝時必須具備足夠的能力

     

    針對這些少數軟體與工具, 可以考慮使用其新版本或驅動程式

    如仍有此現象, 則需與廠商聯繫反映, 以尋求解決

     

    此外, 也可以考慮將這些特定用戶, 隔離於內部網路的另一區域

    以免因其權限過大, 遭受危害時導致企業網路正常運作的干擾

    2007年4月24日 上午 02:34
  •  

    是的,謝謝您的回覆與建議。

     

    Jason 

     

    2007年4月24日 上午 06:46