none
domain user account如何一次性降至群組power user RRS feed

  • 問題

  • 小弟目前的狀況是,user PC群組administrator底下加入的他們自己的domain user account
    現在想把原本群組administrator 底下的 domain user account拿掉並改加入至power user群組底下
    請教各位前輩這該如何再server2003上一次性修改完畢?? 不然client數太多了一個一個跑會死人@@
    2009年5月6日 上午 05:18

解答

  • 將下面指令做成bat檔..然後透過logoff script去部屬

    net localgroup "Administrators" /delete "<domain>\%username%"
    net localgroup "Power Users" /add "<domain>\%username%"


    做完後原先的使用者(管理員權限),在登出時會將自己的帳號從Administrators移除然後增加到Power Users底下
    下次登入時就會沒有Administrators的權限
    • 已標示為解答 Vincent Lin 2009年5月7日 上午 06:48
    2009年5月7日 上午 03:01

所有回覆

  • 將下面指令做成bat檔..然後透過logoff script去部屬

    net localgroup "Administrators" /delete "<domain>\%username%"
    net localgroup "Power Users" /add "<domain>\%username%"


    做完後原先的使用者(管理員權限),在登出時會將自己的帳號從Administrators移除然後增加到Power Users底下
    下次登入時就會沒有Administrators的權限
    • 已標示為解答 Vincent Lin 2009年5月7日 上午 06:48
    2009年5月7日 上午 03:01
  • 將下面指令做成bat檔..然後透過logoff script去部屬

    net localgroup "Administrators" /delete "<domain>\%username%"
    net localgroup "Power Users" /add "<domain>\%username%"


    做完後原先的使用者(管理員權限),在登出時會將自己的帳號從Administrators移除然後增加到Power Users底下
    下次登入時就會沒有Administrators的權限

    TO Vincent
    小弟對script不太熟析,想問一下" /delete "<domain>\%username%" 其中<domain> 是要打上我的domain name
    還是這兩串script 我直接套用就可以了??
    麻煩再指教一下~
    2009年5月7日 上午 05:14
  • 是的..假如你的Domain是abc.com , 就是輸入abc\%username% , abc通常是domain的Netbios name

    2009年5月7日 上午 05:17
  • 是的..假如你的Domain是abc.com , 就是輸入abc\%username% , abc通常是domain的Netbios name


    TO Vincent
    小弟把您提供的script 寫成bat後 放入AD帳號 logon script重開機後結果並沒成功耶??
    @echo off
    net localgroup "Administrators" /delete "abc123\%username%"
    net localgroup "Power Users" /add "abc123\%username%"

    另外小弟這邊還有個問題想請教您,因為如果這方式OK,那是否可套用在OU底下,因為user有600多個...
    一個個套也不是smart的方式

    2009年5月7日 上午 05:49
  • 如果你用logon script的話..登入後會做那些動作..不過當下還是會有admin的權限..要等到下次開機才會生效(可以透過電腦管理去檢查群組裡面的成員是否有變動)
    重開機還是沒生效的話
    你就要觀察看看該script有沒有運行..可以在script裡面加一行 echo "The script has run successfully" > C:\script_status.txt
    如果有看到這檔案就表示此script是有運行的.

    2009年5月7日 上午 06:00
  • 如果你用logon script的話..登入後會做那些動作..不過當下還是會有admin的權限..要等到下次開機才會生效(可以透過電腦管理去檢查群組裡面的成員是否有變動)
    重開機還是沒生效的話
    你就要觀察看看該script有沒有運行..可以在script裡面加一行 echo "The script has run successfully" > C:\script_status.txt
    如果有看到這檔案就表示此script是有運行的.

    TO Vincent
    是的~您說對了,我想我不知道這點,在我測試後第一次重開,會拿掉admin加到power user,這此時PC還具有admin權限必須再重開一次,帳號才會被power user限制,所以此問題已解決!! 在此感謝您 ^^
    但是這邊可能想麻煩您,再請教一下,因為這樣做法是可行的,但是小弟想到公司帳號很多,所以有沒有可能,可以把這script下在GPO OU底下套用,這樣一次就可以套用許多帳號??
    2009年5月7日 上午 06:22
  • 可以的..你可以放在下面位置
    GPO -> 使用者設定 -> Windows 設定 -> 指令檔 (登入\登出)
    登入 或 登出 挑一個放 , 建議放在登出.下次登入後就看的到結果
    2009年5月7日 上午 06:33
  • 可以的..你可以放在下面位置
    GPO -> 使用者設定 -> Windows 設定 -> 指令檔 (登入\登出)
    登入 或 登出 挑一個放 , 建議放在登出.下次登入後就看的到結果

    TO Vincent
    不好意思~這邊還有個想問題想請教一下,因為您說的是把Admin下的帳號拿掉,那如果我想把部門管理帳號放在Admin底下呢??
    也就是說除了把原本domain\username 拿掉放到power user,還必須在Admin底下增加domain\管理帳號
    我自己試過寫結果都失敗...請問如果加了這條件該如何寫script??
    2009年5月11日 上午 01:18
  • 因為要加入帳號到Local Administrators裡面時需要管理員權限才可以
    如果你是將Script放在GPO裡面的User Login/Logout Script的話會失敗(除非該登入User有管理員權限)
    你只要建立一個新的Script
    然後放在GPO->電腦設定->Windows設定->指令檔 (開機\關機)裡面就可以了

    內容跟之前的差不多
    下面例子為將abc網域的testadmin帳號加入到本機的Administrators群組

    net localgroup "Administrators" /add "abc\testadmin"

    2009年5月11日 上午 01:35
  • 因為要加入帳號到Local Administrators裡面時需要管理員權限才可以
    如果你是將Script放在GPO裡面的User Login/Logout Script的話會失敗(除非該登入User有管理員權限)
    你只要建立一個新的Script
    然後放在GPO->電腦設定->Windows設定->指令檔 (開機\關機)裡面就可以了

    內容跟之前的差不多
    下面例子為將abc網域的testadmin帳號加入到本機的Administrators群組

    net localgroup "Administrators" /add "abc\testadmin"


    TO Vincent
    目前user是都有管理員權限的,都還在admin底下有domain\username
    那兩者同時放置GPO是不是,net localgroup "Administrators" /add "abc\testadmin"  先放
    再放入
    net localgroup "Administrators" /delete "<domain>\%username%"
    net localgroup "Power Users" /add "<domain>\%username%"

    因為小弟不知道這樣同時放置GPO進去會不會,先把admin底下domain\username拿掉了,導致abc\testadmin加不進去
    麻煩您~
    2009年5月11日 上午 02:17
  • 照理說只要你沒登出的話,使用者雖然沒在Local Administrators裡面,還是會有管理員權限才是
    你可以先嘗試將那行放在/delete之前,然後在測試看看

    如果還是不行的話,在 net localgroup "Administrators" /add "abc\testadmin" 後面加上  > C:\error.txt

    net localgroup "Administrators" /add "abc\testadmin" 
    > C:\error.txt

    看看執行後裡面的C:\error.txt的內容會是什麼
    2009年5月11日 上午 02:36
  • 照理說只要你沒登出的話,使用者雖然沒在Local Administrators裡面,還是會有管理員權限才是
    你可以先嘗試將那行放在/delete之前,然後在測試看看

    如果還是不行的話,在 net localgroup "Administrators" /add "abc\testadmin" 後面加上  > C:\error.txt

    net localgroup "Administrators" /add "abc\testadmin" 
    > C:\error.txt

    看看執行後裡面的C:\error.txt的內容會是什麼
    TO Vincent
    您的方法及答案真的都非常正確!! 我試過這樣是OK的~ 感謝您
    但是您說的在GPO->電腦設定->Windows設定->指令檔 (開機\關機)這樣是對整個domain下達script是嗎??
    我是想說能在各個OU底下做~哈 不過好像這樣也很困難勒??
    2009年5月11日 上午 08:21
  • 如果你是要在各個OU底下做的話
    就要對各個OU新增一個新的GPO..然後連接過去
    最後在那個新的GPO裡面在使用上面的開關機指令檔
    不過..如果你現在的user有administrator權限的話..就不用考慮到這部分了

    所以說..現在你已經可以正常的加入帳號到Local Administrators了嗎?有做什麼動作嗎?
    2009年5月11日 上午 08:29
  • 如果你是要在各個OU底下做的話
    就要對各個OU新增一個新的GPO..然後連接過去
    最後在那個新的GPO裡面在使用上面的開關機指令檔
    不過..如果你現在的user有administrator權限的話..就不用考慮到這部分了

    所以說..現在你已經可以正常的加入帳號到Local Administrators了嗎?有做什麼動作嗎?

    TO Vincent
    目前我是放在AD account profile去做,您說的都很正常,我按照我需要的條件優先順序去做,在user登入登出時,結果正常!!
    也順利加入我的管理帳號~
    目前卡在OU地方,因為考量某些RD一些配發序號的server,萬一拿掉Admin怕出問題,還有使用某些ERP必須有Admin權限才可呼叫資料,所以可能考慮做在AD account上了!!
    但您說的方法確實可行而且很正確的執行!! 我測了幾台看了C:\error.txt,全都是執行OK,感謝您的幫忙!! ^^
    2009年5月11日 上午 11:08
  • 如果你是要在各個OU底下做的話
    就要對各個OU新增一個新的GPO..然後連接過去
    最後在那個新的GPO裡面在使用上面的開關機指令檔
    不過..如果你現在的user有administrator權限的話..就不用考慮到這部分了

    所以說..現在你已經可以正常的加入帳號到Local Administrators了嗎?有做什麼動作嗎?

    TO Vincent
    您好~不好意思又麻煩您,我加入完domain user 到power user,發生了一些問題,想請您幫忙看看
    1.當初他們outlook2003 PST檔是在有admin權限下開啟的,現在加入power user無法開啟個人資料夾了
    2.還有網路上的share folder他們在下載資料時,無法存取到自己D槽,發生無權限無法存取問題
    3.某些user 他的Excel開啟編輯後,卻無法另存新檔到D槽,或是直接存取~
    2009年5月13日 上午 02:57
  • 1.PST檔的話先檢查該pst檔權限設定是怎樣..正常的應該是建立者&Administrators會有完全存取的權限才對
    2.D槽無法存取的話也是要檢查一下D槽根目錄的權限
    2009年5月13日 上午 03:32
  • 1.PST檔的話先檢查該pst檔權限設定是怎樣..正常的應該是建立者&Administrators會有完全存取的權限才對
    2.D槽無法存取的話也是要檢查一下D槽根目錄的權限


    TO Vincent

    所以您說這樣應該是跟domain\username 降到power user無關囉??
    因為某些user PST就是無法開啟,所以也懷疑是使用之前的user的,只是那時擁有admin權限,所以才沒發生開不起來問題...
    但是user現在就是開不起來,實在很頭痛,除了把domain\username 加回admin 還有其他方法嗎??
    2009年5月13日 上午 03:55
  • 你可以先用Domain Admin的權限連到User端然後幫他加入power users的權限(數量很多的話就很麻煩..)
    或是把username加回Local Admins囉

    而D磁碟根目錄基本上預設權限只有administrators可以寫入而已,如果要Power Users可以寫入的話,則需要新增權限進去

    目前我想到的可行方法大概如下

    1.先將User加回administrators群組
    2.然後一樣再透過logon script的方式透過指令修改你要給予權限的地方 (calcs指令)
    3.最後再把使用者加到PowerUsers群組裡面
    2009年5月13日 上午 03:59
  • 你可以先用Domain Admin的權限連到User端然後幫他加入power users的權限(數量很多的話就很麻煩..)
    或是把username加回Local Admins囉

    而D磁碟根目錄基本上預設權限只有administrators可以寫入而已,如果要Power Users可以寫入的話,則需要新增權限進去

    目前我想到的可行方法大概如下

    1.先將User加回administrators群組
    2.然後一樣再透過logon script的方式透過指令修改你要給予權限的地方 (calcs指令)
    3.最後再把使用者加到PowerUsers群組裡面
    TO Vincent

    加入power user後資料無法寫入問題解決了,我登本機然後在各磁碟加上domain\username選取完全控制,之後所有資料寫入讀取都正常了
    不知這樣是否是正常解決方法??另外也想請教您,如要按我的方法,我該如何寫此script可以讓程序幫我做呢??在各個網域機器的所有磁碟上加上他們的domain\username
    不然想到幾百台就暈了.....
    我也很認真在微軟Script - 指令碼存放庫找,但是都沒找到相關的指令耶  麻煩您指點我一下 ^^
    2009年5月13日 上午 07:02
  • 可以試試看透過cacls的指令去做
    建議只針對非系統磁區(除了C之外)進行就好
    因為power user權限不適合給太大

    一樣建立一個批次檔.bat
    內容如下(如果不確定user有幾個磁區的話,可以多下幾行..反正沒有的也只是會顯示個錯誤訊息而已)

    cacls D:\ /E /G <domain>\%username%:F /C
    cacls E:\ /E /G <domain>\%username%:F /C
    cacls F:\ /E /G <domain>\%username%:F /C
    .
    .
    .

    把這指令透過GPO->使用者設定->Windows設定->指令檔(登入\登出), 去部屬之後..大概就可以了

    PS:使用此指另需要有管理員權限才可以做
    2009年5月13日 上午 07:46
  • 您好~

    若要將USER提升至administrators是否使用以下指令

    net localgroup "Administrators" /add "abc\domain users"

    2009年10月2日 上午 07:44
  • 你說的指令是可以做(將指令放在開機指令檔下去跑)..但是不建議
    因為這樣每個Domain Account在每台電腦上面都有Administrators的權限..這樣不太好

    如果你要讓所有使用者的帳號可以自己把自己加到Local Administrators群組內的話
    我在之前的文章有提供一個辦法..你可以參考看看

    http://social.technet.microsoft.com/Forums/zh-TW/winserverzhcht/thread/a860fa69-643f-49f5-bc6c-bac4e3501f8a

    2009年10月2日 上午 07:54
  • 感謝您的回應!!

    剛剛測試了一下!!
    在Win 7上面執行後,在administrators無法正常加入!!

    2009年10月2日 上午 09:02
  • 試試看關閉UAC看看有沒有改善
    2009年10月2日 上午 10:19
  • 我有將UAC關閉,但是依樣不行!!

    在VISTA下卻是可以的!!

    2009年10月7日 上午 07:16