none
2008组策略可否删除加入本地管理员组的域用户 RRS feed

  • 问题

  • 我已经通过域策略把windows7管理员用户和密码均修改,但是有部分域用户给他的是本地管理员权限,想收回这些人的管理员权限。

    可否通过组策略删除本地管理员组中除了内置管理员账户、OU管理员账户、域管理员账户外的普通域账号。谢谢解答!


    让世界变得更美好!让生活变得更愉快!让家变得更幸福!

    2013年9月4日 7:02

答案

全部回复

  • 是如何授予那些用戶管理員權限的?

    如果你通過

    net user USERNAME /domain

    可以看到其隸屬於本地 Administrators 組, 那麼請盡快去掉該設置.

    因為具有該設置的普通用戶可以非常簡單的通過執行

    net group "domain admins" USERNAME /add /domain

    將自己設置為域管理員權限.

    之所以這樣是因為該 Administrators 是作用於具有 PDC FSMO 角色的 DC 上.

    如果是在客戶端本地添加在 Administrators 組, 那麼可以通過 GPO 的組策略首選項或者通過執行

    net localgroup

    腳本的方式去掉.


    Folding@Home

    2013年9月4日 10:58
  • 您好

    可以利用群組員則中的gpo 來達成

    步驟

    新增一個gpo 

    1.在電腦設定 > Windows 設定 >安全性設定 > 找到受限群組

    2.在受限全組上> 滑鼠右鍵 > 選 [新增群組]

    3. 新增的群組名稱設定為 > Administrators 

    4.將domain admins 或是其他您想要的USER or 群組加入

    5.將該GPO 套用在電腦物件,當電腦套用GPO後,本administrators 群組成員就會是您設定的人員了

    設定截圖請參考下圖

    http://tw.myblog.yahoo.com/jw!Af6WR1aCFQM9ngpdbeOMo24i/article?mid=4&prev=5&next=3

    • 已标记为答案 jiangly 2013年9月13日 7:30
    2013年9月4日 23:12
  • 可以按 MIS的背影  的方法在组策略中使用受限制的组 功能
    2013年9月5日 4:08
  • 你好,

    除了以上的建议,我们还可以通过group policy preference来做这个事情, 更多详细内容请参考下面的链接

    How to use Group Policy Preferences to Secure Local Administrator Groups

    Regards,

    Yan Li


    Cataleya Li
    TechNet Community Support

    • 已标记为答案 jiangly 2013年9月13日 7:30
    2013年9月5日 6:41
    版主