none
批量更新Windows AD设置:只允许此用户登陆到部分计算机 RRS feed

  • 问题

  • 因为之前有大部分的用户设置了登录权限,只允许这些用户(大概有1000+用户)登录到某些计算机,现在又新增了两台服务器需要被允许,如何快速的通过命令或脚本的方法将这些用户在AD中Search出来,并将新增加的两台服务器更新到被允许登录的计算机列表中?

    又或者更简单的,就是取消这些设置,允许所有用户登录到所有计算机?

    2015年5月21日 2:06

答案

全部回复

  • 這是一段 PowerShell 代碼, 可供參考

    # Begin
    
    $root = [adsisearcher]'LDAP://RootDSE'
    $root.filter = '(&(objectclass=computer)(samaccountname=CLI12-*))'
    $root.tombstone = $false
    $computers = $root.findall()
    $usr = [adsi]'LDAP://CN=Tester,OU=Default Users,DC=contoso,DC=com'
    
    $buffer = new-object system.text.stringbuilder
    
    foreach ($comp in $computers)
    {
    	[void]$buffer.append($($comp.properties['samaccountname']))
    	[void]$buffer.append(',')
    }
    
    $usr.invokeset('userWorkstations', $buffer.tostring().trimend(','))
    $usr.commitchanges()
    $usr.close()
    $usr.dispose()
    [void]$buffer.remove(0, $buffer.length)
    
    # End


    Folding@Home


    • 已编辑 repl 2015年5月22日 13:07
    2015年5月22日 13:07
  • 如果要恢復默認設置, 則編寫類似如下代碼

    $usr = [adsi]'LDAP://CN=Tester,OU=Default Users,DC=contoso,DC=com'
    $usr.propreties['userWorkstations'].clear()
    $usr.commitchanges()
    $usr.close()
    $usr.dispose()
    


    Folding@Home

    2015年5月22日 13:23
  • 您好,

    您也可以通过GPO实现,具体请参阅以下KB:

    Allow log on locally

    https://technet.microsoft.com/en-us/library/cc756809%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

    Grant a Member the Right to Logon Locally

    https://technet.microsoft.com/en-us/library/ee957044(v=ws.10).aspx

    谢谢。


    Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com

    2015年5月26日 2:30
    版主