將網域使用者加入本機系統管理者群組

將網域使用者加入本機(local)系統管理者群組的方法。

方法一:修改群組原則

開啟 Administrative Tools/Group Policy Management,在 Forest: XXX.com/Domains/Group Policy Objects/Default Domain Policy 上點右鍵,選 Edit,以開啟 Group Policy Management Editor。接著按下圖操作:



設定完成後,新的設定要等一段時間才會在使用者端的電腦上生效(最多九十分鐘)。若不想等,可以試試看在使用者端的電腦上登出再登入網域,應該會立刻生效。初次練習時,可以用自己的帳戶來實驗。比如說,把自己的網域帳戶加入本機的某個自訂群組,例如 "TEST",過一會兒之後(等伺服器將此更新推送至使用者端),到自己的電腦上查看本機群組,應該就會多一個 "TEST" 群組,裡面的成員會是你的網域帳戶。

注意:此法會將設定套用至所有成員電腦。所以如果你用上述方式將 MyDomain\jack 和 MyDomain\peter 這兩個網域帳戶加入 Administrators (built-in) 群組,那麼網域中的每一台電腦的本機 Administrators 群組裡面的成員都會有這兩個網域帳戶。換言之,jack 和 peter 的網域帳戶在每一台電腦上都有本機系統管理員的權限。

方法二:到本機電腦個別設定

如果只想要讓網域帳戶 MyDomain\jack 成為 Jack 所使用的那台電腦的本機管理員,也可以用土法煉鋼的方式:請網域管理員直接走到 Jack 的座位上,進入電腦 > 管理 > 本機使用者和群組,在 Administrators 群組中加入帳戶 MyDomain\jack。

方法三:使用 Restricted Groups

這個方法我沒有試成功,但還是得提一下。有些文章說可以透過 Restricted Groups 來集中修改所有電腦的群組設定。Restricted Groups 設定項目可在你的群組原則底下的 Policies\Windows Settings\Security Settings\ 裡面找到,設定方法可參考底下延伸閱讀所列的文章(注意:它似乎會蓋過 GPP 的設定)。設定完成後,也要等一會兒才會在用戶端生效。

延伸閱讀

2 則留言:

  1. 您好~我是AD新手,可否請問
    [方法一:修改群組原則],我在SERVER2008R2找不到圖上設定的方式~可否請您指導一下~3q

    回覆刪除
  2. 試試在你的 AD 伺服器上開啟 [系統管理工具 > Group Policy Management],然後從左邊樹狀結構中展開 Forest: XXX > Domains > YYY.COM.TW] 裡面有個 Default Domain Policy。在此項目上點右鍵,選 Edit。

    其實我也一直還是 AD 新手啦 :)

    回覆刪除

技術提供:Blogger.
回頂端⬆️