Soru GPO aracılığıyla bilgisayarında kullanıcı yerel yöneticisini otomatik olarak yapar mı?


AD 2003 alan adımızda her kullanıcı bilgisayarında yerel yönetici izinleri alır. Herkes normal alan adıyla kendi etki alanı hesabına giriş yapabilir.

Şu anda bu, masaüstüne gidip kullanıcıyı yerel yönetici olarak manuel olarak eklemek anlamına geliyor.

Bu işlemi, oturum açma komut dosyaları veya GPO'lar aracılığıyla otomatikleştirmek için herhangi bir yolu var mı? Bir bilgisayara bir yerel yönetici olarak giriş yapan herkesi yapmak için bir gpo kullanmanın yollarını buldum, ancak gerçekten yalnızca bilgisayarın birincil kullanıcısına (veya bazı durumlarda kullanıcılara) vermek istiyorum.

Ayrıca her bilgisayar için bir grup eklemeyi gerektiren yöntemleri de gördüm ... ama gerçekten AD'yi bu şekilde dağıtmak istemiyorum.

Her bir bilgisayar adını her bir kullanıcıya eşleyen bir liste var. Önemliyse, masaüstü bilgisayarlar xp ve win7'nin bir karışımıdır.


6
2018-05-19 00:47


Menşei


Bu çığlık atıyor Kısıtlı Gruplar ancak bazı GPO Güvenlik Filtrelerini yapılandırmanız veya bilgisayar gruplarını ayrı OU'lara ayırmanız gerekebilir. - jscott
Kısıtlı gruplar baktığım şeydi ... ama 200 farklı bilgisayara ihtiyaç duyan 200 bilgisayar ... şu an yaptığımızdan daha karmaşık olurdu. - Grant


Cevaplar:


Bunu yapmanın farkında olduğum bir yerel grup ilkesi aracı yok, ancak bu tür bir değişikliği kodlamak için Powershell'i kullanmak kolay bir çözüm.

Belirli bir bilgisayar için, tüm kullanıcılar yöneticiler grubunun dışına taşınır, istenen kullanıcıları gruba ekleyin, durulayın ve tekrarlayın. Bu, bir sunucu üzerinde çalışacak ve düzenli olarak yeniden uygulanacak ve aynı sonucu bir grup politikası olarak sunacak şekilde planlanabilir.

Buna benzer bir şey yapardım. Kullanıcılarınızın neden yönetici haklarına ihtiyaç duyduğunu öğrenmenizi şiddetle tavsiye ederim. Yönetilen bir BT altyapısının kiracılarından biri, kullanıcıların işlerini yapmaları için gerek duyma haklarını ortadan kaldırmaktır.


0
2018-05-19 01:09



Bu umut verici görünüyor. Bir deneyeyim. - Grant


Umarım olmazdı. Bu yapmak için çok güvenli bir şey değil. Kullanıcıları, yükseltilmiş izin gerektiren etkinlikler için ayrı bir hesap kullanmaya teşvik ediyorum. Yerel bir hesap kullanıyoruz, ancak bu yerel Yöneticiler grubuna eklenmiş bir etki alanı hesabı da olabilir.


2
2018-05-19 01:06





Kullanıcıyı GPP (GPO'nun tercih edilen kısmı) kullanarak yerel yönetici grubuna da ekleyebilirsiniz.

Üstteki lvl'de bir GPO oluşturabilir ve kullanıcıyı belirli bir bilgisayar için yönetici grubuna eklemek için GPP hedeflemeyi kullanabilirsiniz.

Bilgisayar adı XX ise, bu kullanıcıyı yerleşik gruba ekleyin.

200 kullanıcı için bu GPO'da 200 satırınız olur.

Bunu ayarlamak için biraz zaman alacak ama uzaktan yapabileceksin. Bir kullanıcının haklarının iptal edilmesi gerekiyorsa, silinecek satırdaki GPP Güncelleme seçeneğini değiştirirsiniz.

İsterseniz birkaç ekran görüntüsü ekleyebilirim.


0
2017-07-04 20:49