locked
透過GPO 加入 Local admin issue RRS feed

  • 問題

  • 參考這篇 後, 確實會在local admin 中生效

    但同時也會在網域中的administrators 群組中出現僅要加入local admin 的群組

    這樣也造成 user 有 domain administrator 的權限 

    原本要用net localgroup 指令 bat 加在 GPO 登入 , 但目前已移除所有 Domain user  local admin

    的權限, 所以套用後執行的user 權限不足也無法將 domain group 加入local admin 群組

    也試過CPAU , runasspc 透過  admin 權限執行bat 也無效

    請問還有什麼方法可以在將 domain group 加入 local administrators 內

    但不會順便也加入到 builtin\administrators 的方法呢? 

    2012年7月12日 上午 07:26

解答

  • 網域的 BuiltIn 是個 Container, 如果有套用群則原則設定, 一定是從 站台 以及 網域 所連結的群組原則物件套用的

    因此請檢查下列設定:

    1. 請使用 群則原則管理 至 站台 與 網域 的位置, 開啟每個連結至此 "群組原則物件" 的內容

        看看 "受限群組" 設定中是否有將您提到的成員加入到 Administrators 的設定, 如果有則予以移除

    2. 在 DC 使用 Gpupdate /force 以立即套用, 如有多個 DC, 則輸入 Repadmin /Syncall /P /e 進行複寫後再執行前述指令

    3. 使用 AD使用者及電腦 至 BuiltIN 處開啟 Administrators 群組, 看看是否有出現您提到的群組存在!

    • 已標示為解答 Neil Chuang 2012年7月17日 上午 02:29
    2012年7月13日 下午 02:26

所有回覆

  • 會發生連 builtin\administrators 也套用到此群組原則的受限群組設定

    原因就是您在 "網域" 位置群組原則物件設定了上述內容導致的

    只要到用戶電腦所在的組織單位設定群組原則物件

    這樣就不會套用到 builtin\administrators 了

    • 已提議為解答 Kill Apple 2012年7月13日 上午 02:23
    2012年7月12日 下午 12:38
  • 我已在用戶所在的OU 設定GPO , 隸屬於administrators 
    但仍會帶自動帶 builtin\administrators 的群組
    請問有沒有比較詳細的設定方法呢?

    

    2012年7月13日 上午 10:12
  • 網域的 BuiltIn 是個 Container, 如果有套用群則原則設定, 一定是從 站台 以及 網域 所連結的群組原則物件套用的

    因此請檢查下列設定:

    1. 請使用 群則原則管理 至 站台 與 網域 的位置, 開啟每個連結至此 "群組原則物件" 的內容

        看看 "受限群組" 設定中是否有將您提到的成員加入到 Administrators 的設定, 如果有則予以移除

    2. 在 DC 使用 Gpupdate /force 以立即套用, 如有多個 DC, 則輸入 Repadmin /Syncall /P /e 進行複寫後再執行前述指令

    3. 使用 AD使用者及電腦 至 BuiltIN 處開啟 Administrators 群組, 看看是否有出現您提到的群組存在!

    • 已標示為解答 Neil Chuang 2012年7月17日 上午 02:29
    2012年7月13日 下午 02:26
  • 謝謝囉, 已ok 了, 感恩!
    2012年7月17日 上午 02:29