jackyrtg - 2007-6-6 23:58:00
刚来到公司的时候,域用户都拥有本地管理员权限,所以造成在本地管理员组中的一些杂乱,如内置administrator密码被修改,自己增加了些多余的账户等等。而这些杂乱会给维护和安全性都带来问题。受限组是个很实用的组策略,我一直在应用该策略,它可以将某一个账户添加到每台客户端计算机的本地管理员组内,从而方便管理。
试验环境:
1、Server 2003和XP(客户端计算机名xp1、域用户帐号也为xp1)。
2、创建OU取名为computer,将客户端电脑移动到该OU内。
提示:
受限组的策略是应用在计算机帐户上的,所以请确保OU内的是计算机帐户而非用户帐户。
在Computer OU上建立组策略,取名为Restricted Groups,如图1
附件: 您所在的用户组无法下载或查看附件
图1
选中受限制的组后,在右边空白处右键单击,然后添加需要的组。在这里我希望做到所有该OU中的客户端计算机的本地管理员组内只有域用户xp2存在其中。所以在选中了Administrators这个组后,为其添加成员。如图2
附件: 您所在的用户组无法下载或查看附件
图2
这是xp1受到该组策略影响前的图片,如图3
附件: 您所在的用户组无法下载或查看附件
图3
在客户端刷新策略后,可以看到除了内置的本地管理员帐号,另外两个都消失了。取而代之的是域用户xp2的帐号了。如图4
附件: 您所在的用户组无法下载或查看附件
图4
如果组策略删除的话,前面消失的两个帐号会再次出现。从这里也可以看出,受限组策略可以控制组中有哪些帐号存在,不被允许的帐号会被自动挤出去。(除了内置的administrator帐号)
在图2中的下方有个选项为“这个组隶属于”。怎么说呢?举个例子吧。
当要确保Domain Admins这个组一定要存在于客户端本地管理员组内时,就可以用到这个选项。策略生效后Domain Admins会被添加进客户端电脑的本地管理员组,并且不会挤掉原先存在的那些帐户或组,和上面的例子是有所区别的。另外这个选项只能添加组,若需要添加成员就把成员帐号添加到组内,然后选中该组即可。
小结:
Restricted Group带来的好处是有效控制组内的成员,比如既便客户端域帐号拥有本地管理员权限,并删除了一些网管设置的帐号,我们只需要重启一下电脑一切就又恢复了原样。
试验环境:
1、Server 2003和XP(客户端计算机名xp1、域用户帐号也为xp1)。
2、创建OU取名为computer,将客户端电脑移动到该OU内。
提示:
受限组的策略是应用在计算机帐户上的,所以请确保OU内的是计算机帐户而非用户帐户。
在Computer OU上建立组策略,取名为Restricted Groups,如图1
附件: 您所在的用户组无法下载或查看附件图1
选中受限制的组后,在右边空白处右键单击,然后添加需要的组。在这里我希望做到所有该OU中的客户端计算机的本地管理员组内只有域用户xp2存在其中。所以在选中了Administrators这个组后,为其添加成员。如图2
附件: 您所在的用户组无法下载或查看附件图2
这是xp1受到该组策略影响前的图片,如图3
附件: 您所在的用户组无法下载或查看附件图3
在客户端刷新策略后,可以看到除了内置的本地管理员帐号,另外两个都消失了。取而代之的是域用户xp2的帐号了。如图4
附件: 您所在的用户组无法下载或查看附件图4
如果组策略删除的话,前面消失的两个帐号会再次出现。从这里也可以看出,受限组策略可以控制组中有哪些帐号存在,不被允许的帐号会被自动挤出去。(除了内置的administrator帐号)
在图2中的下方有个选项为“这个组隶属于”。怎么说呢?举个例子吧。
当要确保Domain Admins这个组一定要存在于客户端本地管理员组内时,就可以用到这个选项。策略生效后Domain Admins会被添加进客户端电脑的本地管理员组,并且不会挤掉原先存在的那些帐户或组,和上面的例子是有所区别的。另外这个选项只能添加组,若需要添加成员就把成员帐号添加到组内,然后选中该组即可。
小结:
Restricted Group带来的好处是有效控制组内的成员,比如既便客户端域帐号拥有本地管理员权限,并删除了一些网管设置的帐号,我们只需要重启一下电脑一切就又恢复了原样。