扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
Do you have users of Windows 2000 and XP Professional computers removing the Domain Administrators group from the local Administrators group on their computer? Do you need to have a special user account placed in the Administrator group of every computer on the network for remote administrative functions?
很不幸,我碰到了相同的问题。那么就来看看Restricted Groups这个策略能带来什么效果吧。
试验环境:
1、Server 2003和XP(客户端计算机名xp1、原始的域用户帐号也为xp1)。
2、创建OU取名为computer,将客户端电脑移动到该OU内。
提示:
1、受限组的策略是应用在计算机帐户上的,所以请确保OU内的是计算机帐户而非用户帐户。
2、良好的习惯是不在Default Domain Policy 和 Default Domain Controller Policy内设置组策略。
在Computer OU上建立组策略,取名为Restricted Groups,如图1
图1
选中受限制的组后,在右边空白处右键单击,然后添加需要的组。在这里我希望做到所有该OU中的客户端电脑的本地管理员组内只有域用户xp2存在其中。所以在选中了Administrators这个组后,为其添加成员。如图2
图2
这是xp1受到该组策略影响前的图片,如图3
图3
在客户端刷新策略后,可以看到除了内置的本地管理员帐号,另外两个都消失了。取而代之的是域用户xp2的帐号了。如图4
图4
如果组策略删除的话,前面消失的两个帐号会再次出现。从这里也可以看出,受限组策略可以控制组中有哪些帐号存在,不被允许的帐号会被自动挤出去。(除了内置的administrator帐号)
在图2中的下方有个选项为“这个组隶属于”,怎么说呢?举个例子吧。
当要确保Domain Admins这个组一定要存在于客户端本地管理员组内时,就可以用到这个选项。策略生效后Domain Admins会被添加进客户端电脑的本地管理员组,并且不会挤掉原先存在的那些帐户或组,和上面的例子是有所区别的。另外这个选项只能添加组,若需要添加成员就把成员帐号添加到组内,然后选中该组即可。
小结:
Restricted Group带来的好处是有效控制组内的成员,比如既便客户端域帐号拥有本地管理员权限,并删除了一些网管设置的帐号,我们只需要重启一下电脑一切就又恢复了原样!
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者