使用组策略添加删除本地用户和组的成员
介绍
如果您的公司像大多数公司一样,则您的用户在其桌面上以本地管理员身份运行。有解决方案可以消除这种需求,这是每个公司都应制定的方向。当用户以本地管理员身份运行时,IT员工无法控制该用户或其桌面。为了保护每个桌面上的本地Administrators组的安全,您需要一些强大的工具来完成工作。通常,需要执行三项不同的任务来保护该组的安全,我们将在本文中介绍这些任务。Windows Server 2008和Windows Vista SP1(安装了RSAT)提供了惊人的新控件,使这些配置变得轻而易举!
任务1-删除域用户帐户
保护本地Administrators组的首要任务是确保用户不再具有该组的成员身份。说起来容易做起来难,因为大多数公司已将用户的域帐户配置为在安装用户计算机时具有该组的成员身份。
考虑以下情形:已解决了使用户以本地管理员身份运行的问题,现在需要从环境中每个桌面上的本地管理员组中删除域用户帐户。您只有10,000台台式机,笔记本电脑和远程用户,因此您前面的工作还很简单(是的,对!)。
如果创建脚本来执行此任务,则将依靠用户注销并重新运行脚本。即使在一半的台式机上也不太可能发生,因此您需要另一种选择。
作为一个完美的解决方案,您可以使用“本地组-组策略首选项”在实施该任务后约90分钟内完成该任务。要完成工作,您只需要编辑组策略对象(GPO)并配置以下策略:计算机配置(或用户配置,截图是用户配置)\首选项\控制面板设置\本地用户和组\新建\本地组,这将打开“新建本地” “组属性”对话框,如图1所示。
图1:本地组GPP,它使您可以控制本地管理员组的成员身份
打开此属性表后,只需选择“删除当前用户”单选按钮。这将影响包含该设置的GPO管理范围内的所有用户帐户。此设置将在90分钟以内的下一次组策略后台刷新期间应用。
任务2-添加域管理员和本地管理员
保护本地Administrators组的下一阶段是确保将Domain Admins全局组和本地Administrator帐户都添加到每个桌面的本地Administrators组中。
许多人从一开始就使用Windows Active Directory组策略中的“受限制的组”策略进行了尝试。该解决方案的问题在于,受限制的组策略是“删除并替换”策略,而不是“追加”策略。因此,当您配置策略以执行此任务时,将清除本地Administrators组的内容,仅用这两个帐户替换它。
通过使用任务1中描述的“本地用户和组”策略,您不仅可以删除当前登录的用户,还可以添加两个关键帐户,以确保您在每个桌面上都具有正确的管理权限,如下所示:如图2所示。
图2:添加本地管理员组的成员很容易
任务3-删除特定帐户
保护本地Administrators组的最后阶段是确保只有正确的帐户才具有成员身份。在许多情况下,已经将域中的组添加到本地Administrators组中,以执行特定任务,完成项目或执行维护。如果本地管理员组中不再需要这些组,则可以使用新的本地用户和组策略将其删除。
以与在任务2中添加两个帐户类似的方式,可以将帐户添加到需要删除的策略中。为此,请确保在将帐户添加到策略中时选择“从该组中删除”选项,如图3所示。
图3:可以从本地管理员组中删除特定的用户或组
现在,您可以完全控制本地Administrators组的成员身份,甚至只删除不应包含的用户和组帐户。
获取工具和规则
我已经一再提及Windows Server 2008和Vista附带的组策略首选项的使用。为了使您能够利用这些设置,您只需在网络上使用以下一项:
- Windows Server 2008服务器
- Windows Vista SP1,安装了远程服务器管理工具集
这两个操作系统都带有新的和改进的组策略管理控制台和组策略管理编辑器。
新的“组策略首选项”中包含的设置可以应用于以下操作系统:
- Windows XP SP2及更高版本
- Windows Server 2003 SP1和更高版本
- Windows Vista SP1和更高版本
- Windows Server 2008及更高版本
抱歉,任何Windows 2000都不适用!
有关组策略首选项和RSAT的更多信息,请查看以下链接:
- Windows组策略资源工具包:Windows Server 2008和Windows Vista
- 组策略首选项常见问题(FAQ)
- Windows Vista的Microsoft远程服务器管理工具(KB941314)
摘要
对于用户具有本地管理特权的桌面,IT不能完全控制,这是100%正确的。所有公司都需要重新控制桌面,并保护本地Administrators组。由于Windows Server 2008和Vista随附的组策略首选项,现在可以执行这些步骤。只需单击几下,您就可以100%控制桌面和本地Administrators组。该设置将在大约90分钟内应用于加入该域并在网络上的所有计算机。用户无需注销并重新启动...仅适用策略设置!
使用组策略添加删除本地用户和组的成员相关推荐
- 如何显示计算机中本地用户和组,win10电脑管理界面如何显示出“本地用户和组”功能...
win10电脑管理界面如何显示出"本地用户和组"功能 有些小伙伴在电脑管理界面中没有看到"本地用户和组"功能,其实是我们没有显示出来而已.今天小编跟大家分享下w ...
- 本地用户与组账户的管理、组策略
1:打开本地用户和组的界面 2:查看本地用户账户的命令(net user) 3:查看当前用户的SID 4:查看本地组 5:使用计算机管理界面创建本地用户账户 6:使用net user命令创建本地用户账 ...
- 本地用户与组账户的管理 组策略
项目二 本地用户与组账户的管理.组策略 一.项目背景 公司内有5位员工,为了完成项目任务,需要为每一名员工,在他们所可能使用所有计算机上创建账户.由于所属部门不同,职位不同,为了今后分配权限的便利,还 ...
- 计算机管理创建新用户,win7系统添加新用户名的方法和win7系统计算机管理中没有本地用户和组的解决方法...
win7系统添加新用户名的方法 方法一:通过控制面板创建新的用户. 1.打开开始菜单,选择控制面板. 2.打开控制面板界面,选择用户账户. 3.进行用户设置界面,选择管理其它账户. 4.点击下面的创建 ...
- Win10家庭版怎么添加本地用户和组?
Win10家庭版系统找不到本地用户和组,导致很多操作都进行不了?这该怎么办?如果不想重装系统的话,可以试试下面的解决办法. 添加步骤: 1.在Windows10桌面,右键点击桌面左下角的开始按钮,在弹 ...
- 计算机本地用户删除后怎么恢复,大神面对win7系统计算机管理本地用户和组不见了的还原步骤...
并不是所有的朋友都知道win7系统计算机管理本地用户和组不见了的问题应该如何解决,就有朋友来向我咨询win7系统计算机管理本地用户和组不见了的具体解决步骤,针对这个问题小编就整理总结出win7系统计算 ...
- 计算机组和用户组,计算机管理本地用户和组里面用户和组有许多,我只想保留一个用户和一个组,其他的可以删除不,有没有影响...
Administrators 属于该administators本地组内的用户,都具备系统管理员的权限,它们拥有对这台计算机最大的控制权限,可以执行整台计算机的管理任务.内置的系统管理员帐房Admini ...
- win10中没有本地策略组、本地用户和组
参考: https://jingyan.baidu.com/article/09ea3ede1fdef2c0aede393a.html 本人重启后,打开运行窗口,输入MMC,点击确定,打开 Micro ...
- Win10系统管理中没有本地用户和组如何添加?
前言 `win10家庭版,在系统管理中没有本地用户和组,要添加就要将系统升级到专业版,如果专业版不知道什么原因没有本地用户和组可以试试下面方法. 步骤 1.在"此电脑"上右击,点击 ...
最新文章
- mysql 列出表_[MySQL优化1]centos中MySQL列出所有表
- 操作系统第三章-内存管理
- c语言 int和字母,[求助]从一个包含有字母和数字的文本文件读入INT型变量
- struts2文件上传(2)
- 十大应用在数学的计算机语言
- LinuxCNC基础知识
- snmp4j介绍及api使用
- linux下 mysql主从备份
- hdu3394--Railway(点的双连通分量)
- 利用fnd_flex_keyval包轻松获取关键性弹性域组合描述字段
- 考上研究生就脱单?快来看看这些女生多的大学!
- python图片,大家来找茬
- 像韩寒一样活着 南方人物周刊(转)
- 主板有电无法启动_电脑主板有电 但是就是开不了机
- Linux常见疑难问答
- C语言学习之有一个函数: y= x(x<1) 2x-1 (1≤x<10) 3x-11 (x≥10) 写程序,输入x的值,输出y相应的值。
- 通过计算机名共享文档,共享文档
- MMD4Max(MMD4Maya)
- C++_求2个或3个正整数中的最大数,用带有默认参数的函数实现
- 用html数据库搭建信息管理系统,Node.js实现简单管理系统