3种用组策略将域帐号加入本地管理员组的方法

Citrix域用户使用组策略加入到虚拟桌面本地管理员
1.打开组策略
2.选中需要做策略的OU，这里使用test。

在右方空白处新建一个策略。

3.编辑新建的组策略test policy
4.依次选择如下选项，用户配置—性能---控制面板设置---本地用户和组，
5.在本地用户和组右侧空白处新建组，因为是更新组成员，所以选择update。

操作中的“更新”代表更新域客户端Administrators组中的成员，而不是新建组；
“添加当前用户”表示添加登录时的域帐号到客户端系统的本地Administrators组，只要域帐号一登录，就把它加入本地管理员组，也可以同时选中右边的“删除所有成员用户”或者是删除所有成员组，意思是将当前登录的用户加入到本地管理员组的时候，删除其他成员用户或者是组，以起到动态加入管理员组的效果，也就是始终保持最近登录的用户是在管理员组中，其他用户删除，但是需要注意。

在此我们不选择，先看一下效果。

6.配置完成后，重启虚拟桌面。

重启完成后，会在虚拟桌面本地管理员组中看到相应账户，
配置完成。

说明：此场景只适合于Win7及以后的操作系统，像XP/2003等需要安装插件，以使用“首选项”功能生效，下载地址：cc731892(WS.10).aspx
估计大家是用不到了，毕竟都已经是两个退役的产品了。

另外一点，就是如果是希望将某个组都加入到本地管理员组，则建议使用计算机配置下的“本地用户和组”功能。

域用户本地权限设置文档一、情况说明本章节内容将会对域环境中的本地权限进行一些说明，并且会说明为什么域用户登陆本地机器后不能安装服务的原因，下一章节将会给出具体解决步骤，如急需解决问题的情况下可直接跳过本章节阅读下一章节内容。

在AD上建立域用户的时候，默认是隶属于Domain Uses用户组我们登陆到加入域的客户端机器上，打开用户管理模块，我们可以发现，Domain Users组只隶属于本地的Users组，在本地的administrators组中没有Doamin Users组；然而安装windows服务必须是本地administrators组中的用户才可以安装。

从上图中可以看到，Domain Admins组默认就是在本地的administratos组中的，这就解释了为什么通常情况下本地管理员和域管理员都能安装windows服务。

但是有些ghost安装的winXP会把本地administrators组中的Domain admins 删除，后果就导致了只有本地管理员能安装windows服务，域管理员不能安装windows服务。

为了能使加入域的客户端电脑能够安装windows服务，就需要获得本地的administrators组的权限，有如下几种方法1、通过组策略强制把Domain Admins加入到每个客户端的本地administrators组中，然后通过大通的权限获取机制安装大通windows服务。

2、通过组策略把Domain Users加入到每个客户端的本地administrators组中，这样所有登陆的域用户都可以安装服务，全部安装完成后再通过组策略把Domain Users从每个客户端的本地administrators组中移除。

下一章节就是解决步骤。

二、解决步骤方法1：创建datong.vbs，内容如下：Set ws = WScript.CreateObject ( "WScript.Shell" )compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" )Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" ) adGrp.Add ( "WinNT://Domain Admins,group" )在AD中右键点击“域（例如）”——>属性——>组策略“新建”——“组策略名称随便取”——“编辑”计算机配置——windows设置——脚本——启动点击“显示文件”，把datong.vbs拷贝到目录中回到策略界面，点击添加，把datong.vbs加入启动策略。

针对Windows Server2003给域账户设置管理员权限【也适用XP】针对袁绪军写的【如何加入域】第5步，在server中没找到用户账户，故用一下步骤取代1、如图，在【我的电脑】上右键，点击【管理】2、如图，在弹出的【计算机管理】页面：选中【本地用户和组】->【组】中，在Administrators 上右键，点击【添加到组】3、如图，点击【添加】4、如图，在弹出的对话框中，点击【高级】5、如图，此时会弹出域服务器的验证。

输入域服务器192.168.0.173的用户名和密码。

点击【确定】6、上一步确定后，如图，点击【立即查找】7、找到刚才加入域的用户“XXX”，选中后，点击【确定】8、如图，再次点击【确定】9、如图，再次点击【确定】，至此，给域账户设置管理员权限完毕。

出师表两汉：诸葛亮先帝创业未半而中道崩殂，今天下三分，益州疲弊，此诚危急存亡之秋也。

然侍卫之臣不懈于内，忠志之士忘身于外者，盖追先帝之殊遇，欲报之于陛下也。

诚宜开张圣听，以光先帝遗德，恢弘志士之气，不宜妄自菲薄，引喻失义，以塞忠谏之路也。

宫中府中，俱为一体；陟罚臧否，不宜异同。

若有作奸犯科及为忠善者，宜付有司论其刑赏，以昭陛下平明之理；不宜偏私，使内外异法也。

侍中、侍郎郭攸之、费祎、董允等，此皆良实，志虑忠纯，是以先帝简拔以遗陛下：愚以为宫中之事，事无大小，悉以咨之，然后施行，必能裨补阙漏，有所广益。

将军向宠，性行淑均，晓畅军事，试用于昔日，先帝称之曰“能”，是以众议举宠为督：愚以为营中之事，悉以咨之，必能使行阵和睦，优劣得所。

亲贤臣，远小人，此先汉所以兴隆也；亲小人，远贤臣，此后汉所以倾颓也。

先帝在时，每与臣论此事，未尝不叹息痛恨于桓、灵也。

侍中、尚书、长史、参军，此悉贞良死节之臣，愿陛下亲之、信之，则汉室之隆，可计日而待也。

臣本布衣，躬耕于南阳，苟全性命于乱世，不求闻达于诸侯。

先帝不以臣卑鄙，猥自枉屈，三顾臣于草庐之中，咨臣以当世之事，由是感激，遂许先帝以驱驰。

IT 管理外包服务GLOBAL ON-SITE SERVICE2010 Q3 Update博迅中国的IT 网络管理服务覆盖全球。

全球WISEMAN 服务包括CPE 设备的安装和调试、PoP 站点的部署、无线以及微波网络设备的安装、远程网络以及设备的运维。

BROCENT Global On-site Service are available worldwide. These serviceinclude installation of CPE device ,PoP sites, wireless/radiolink equipmentinstallation or RHE (Remote Hands and Eyes) services.成功案例(部分)目录整体数据安全解决方案： (3)网络多媒体发布解决方案实施 (4)机房搬迁项目 (5)Java高级工程师驻场外包服务 (6)FTP服务器搭建 (7)全球多地VPN实施 (7)AD域部署实施 (7)Linux服务器运维 (8)IT标准化管理咨询服务 (8)微软专家级服务支持 (9)企业网站开发 (9)Help Desk (10)IT硬件设备采购 (10)整体数据安全解决方案：客户：德国某股份公司项目概况：该集团是透析产品和透析服务方面的世界领先者。

该公司是一家为重症和慢性病患者提供临床营养和液体治疗的跨国公司。

它在所从事的领域，欧洲市场居首位，在亚太和拉丁美洲市场也处于举足轻重的地位。

客户对目前IT运维环境风险集中表示担忧，博迅中国针对客户风险，提出专业并有指向性的安全咨询以及内审服务。

成功解决客户疑惑，并指导客户完成风险规避。

博迅中国提出的解决方案分为以下五个部分：第一，网络准入控制，首先要验证一下计算机和这个人员的身份，还有就是补丁或者是注册表，杀毒软件这一块的更新是不是达到企业的要求。

第二个是物理准入，伊时代提出了自有的手掌静脉识别的系统，这个可以和我们的门镜、办公考勤和人员管理系统结合在一起能够联动使用，这样可以达到非法人员进入的目的。

域用户常用组策略设置组策略是指在Windows操作系统中，通过集中管理策略和设置来控制域用户和计算机的行为。

以下是一些常用的组策略设置，适用于Windows Server上的域环境。

1.密码策略密码策略设置用于控制用户密码的复杂度和安全性。

可以设置密码的最短长度、密码的复杂性要求，如必须包含大写字母、小写字母、数字和特殊字符等。

还可以设置密码的最长有效期和密码历史记录的保留个数，以防止用户频繁更改密码。

2.账户锁定策略账户锁定策略设置用于控制在一定的失败尝试次数后锁定用户账户。

该策略可以防止恶意攻击者通过暴力破解密码的方式获取用户账户的权限。

可以设置失败尝试次数和锁定时间。

3.用户访问控制策略用户访问控制策略用于控制用户对不同资源的访问权限。

例如，可以设置用户只能访问特定的文件夹、只能访问特定的应用程序等。

可以根据组织的需求进行灵活的设置，以满足不同用户角色和职责的需要。

4.审计策略审计策略用于记录用户和计算机的操作日志。

可以设置哪些操作需要被审计，如登录、文件访问、对象的创建和删除等。

审计策略可以帮助管理员跟踪和分析系统的安全事件，及时发现和应对潜在的安全威胁。

5.软件安装策略软件安装策略用于集中管理和部署软件应用程序。

可以通过组策略将软件程序推送到目标计算机上，或者限制一些用户或计算机无法安装特定的软件。

这样可以确保组织中的计算机都拥有统一的软件环境，便于管理和维护。

6.桌面设置策略桌面设置策略用于控制用户的桌面环境和用户界面。

可以限制用户是否可以更改桌面背景、屏幕保护程序、系统主题等。

还可以限制用户是否可以访问控制面板、开始菜单等系统设置。

这样可以加强计算机的安全性，并减少用户误操作或恶意行为造成的影响。

7. Internet Explorer设置策略Internet Explorer设置策略用于控制Internet Explorer的行为和配置。

可以设置浏览器的安全级别、对特定网站启用或禁用特定功能，如ActiveX控件、Java脚本等。

域组策略域控中组策略基本设置
组策略是域控中的一项重要功能，它允许管理员集中管理域中的计算机和用户。

组策略可以通过设置一系列规则和限制来控制域中的计算机和用户的行为和配置。

在组策略基本设置中，管理员可以执行以下操作：
2.链接组策略到组织单位或域对象：管理员可以将组策略链接到特定的组织单位或域对象上。

链接组策略到组织单位将使该策略应用于组织单位下的所有计算机和用户。

链接组策略到域对象将使该策略应用于整个域中的所有计算机和用户。

3.启用和禁用组策略：管理员可以启用或禁用组策略，以控制该策略是否应用于目标计算机和用户。

禁用组策略将导致不应用该策略中定义的所有设置和规则。

4.强制组策略：管理员可以通过强制组策略来立即应用组策略中的设置和规则。

强制组策略可以用于快速应用新的或更改的设置，而无需等待组策略刷新。

5.优先级设置：管理员可以为链接到同一组织单位或域对象的多个组策略设置优先级。

优先级较高的组策略将覆盖优先级较低的组策略中的相同设置和规则。

7.备份和恢复组策略：管理员可以备份组策略的配置，并在需要时进行恢复。

这样可以确保即使发生意外情况，管理员也能轻松地恢复组策略的设置。

8.详细日志和审计：系统还提供了详细的日志和审计功能，记录组策略的所有修改和应用。

管理员可以使用这些日志来跟踪和审计组策略的变更历史。

组策略把客户端用户加入本地P o w e r U s e r s组中精编Document number：WTT-LKK-GBB-08921-EIGG-22986组策略—把客户端用户加入本地Power Users组中对于客户端用户都属于Domain Users 组的时候，登陆域后没有权限安装AD组策略分发下来的软件，那么我们要做的就是把Domain Users组加入到客户端本地的Power Users组中去。

1、我建了一个OU2的OU把所有的客户端计算机都放入到了这个OU里面。

在DC上新建一条组策略针对OU2这个OU的;2、编辑这条组策略，找到“计算机配置”——“Windows 设置“——”安全设置“——“受限制的组”，按鼠标右键，选择”添加组“;3、输入Power Users，点击”确定“4、在Power Users属性中点击添加，弹出添加成员对话框的时候点击浏览：5、弹出选择用户或组的对话框的时候选择高级按钮。

6、接下来点击立即查找—在搜索结果中找到Domain Users 选中它—再点击确定按钮7、点击确定。

8、继续点击确定9、点击应用按钮，这样就把Domain Users组添加到Power Users组中去了。

10、添加好后如下图，可以在Power Users组中看到它的成员中有LONG这个域中的Domain Users组了。

11、接下来用gpupdate /force命令刷新组策略。

12、重新启动客户端计算机，再验证策略是否成功,看下图客户端已经成功。

这样就可以在客户端正常安装软件了。

等所有客户端软件安装完成以后，为了安全起见再把Domain Users组从客户端本地Power Users组中移除，具体步骤：找到算机配置—Windows设置—安全设置—受限制的组—在右边选中Power Users 组—右键单击—属性—选中Domain Users组—删除接下来点击应用。

看到Power Users组的成员为空的时候，那么Domain Users组就已经从Power Users组中移除了。

如何通过组策略将指定用户加入本地计算机管理员组企业里面如果使用AD进行人员和计算机的管理，企业中一般会设定一个Helpdesk的职位，是公司的IT人员，负责公司员工计算机的日常问题，在很多情况下需要Helpdesk对计算机具有本地管理员权限才能对计算机的软件、系统之类的进行设置，所以我们需要在AD的组策略中设置将Helpdesk用户加入到所有员工计算机的Administrators组中。

我们为保证服务器的安全禁止Helpdesk用户远程连接服务器，禁止其对服务器计算机的管理员身份，所以禁止将Helpdesk用户组加入到服务器的Administrators组中。

但是另外一个问题就是公司的服务器也是在域中的，服务器计算机会和员工的计算机都在同一个OU下，而且对AD中的所有计算机OU进行调整可能会出现相关的业务系统发生错误的情况（好像调整服务器OU，Exchange服务会出错），所以OU也不能调整。

那么这个该怎么实现这个限制呢？比较简单有效的方法是对整个域用户设置一个组策略，该组策略实现将Helpdesk用户组添加到本地计算机中，同时对该组策略的安全作出限制，对所有服务器计算机deny其“应用组策略”。

具体操作是这样的：（1）在AD中新建Helpdesk用户组，添加相关的Helpdesk用户，新建ServerComputer组，将所有的服务器添加到该组中。

（2）在DC上打开“AD用户和计算机”，打开域的属性窗口，在组策略选项卡中单击“打开”按钮打开组策略管理，新建一个组策略Helpdesk，并将该组策略链接到域上，对所有域用户生效，如图：（3）右击“Helpdesk”，在弹出式菜单中选择“编辑”，那么就可以弹出我们熟悉的组策略编辑器了。

（4）依次展开“计算机设置”、“Windows设置”、“安全设置”、“受限制的组”，然后新建组“Helpdesk”，这个组隶属于“Administrators”组，如图：这样设置后所有域中的计算机在应用策略后都会将Helpdesk组添加到本地的Administrators组中。

本地安全策略命令本地安全策略命令是指在计算机上运行的操作系统中用于管理用户账户和安全设置的命令集合。

本文将介绍一些常用的本地安全策略命令，并讨论它们的功能和用法。

一、用户账户管理命令1. net user：这个命令用于创建、修改或删除本地用户账户。

例如，使用"net user testuser password123 /add"这个命令可以创建一个用户名为testuser，密码为password123的新用户账户。

2. net group：这个命令用于创建、修改或删除用户组，用户组可以用于对一组用户进行管理。

例如，使用"net group testgroup/add"这个命令可以创建一个名为testgroup的新用户组。

3. net localgroup：这个命令用于在本地计算机上创建、修改或删除本地用户组。

例如，使用"net localgroup administrators testuser /add"这个命令可以将testuser用户添加到管理员组中。

二、安全设置管理命令1. secedit：这个命令用于配置和分析安全策略。

例如，使用"secedit /configure /cfg security.inf"这个命令可以根据security.inf文件中的配置信息来应用安全策略。

2. gpupdate：这个命令用于更新本地计算机或用户的组策略设置。

例如，使用"gpupdate /force"这个命令可以强制立即更新组策略设置。

3. auditpol：这个命令用于配置本地计算机上的安全审核策略。

例如，使用"auditpol /set /subcategory:"logon/logoff"/success:enable"这个命令可以启用成功登录或注销事件的审核。

如何将域用户加入到本地管理员组将域用户加入到本地管理员组时，可以通过以下几种方法实现：方法一：使用计算机管理工具1.打开“计算机管理”工具。

可以通过右键点击“此电脑”图标，然后选择“管理”打开该工具。

2.在左侧面板中选择“本地用户和组”-“组”。

3.在右侧面板中找到并双击“管理员”组。

4.在弹出的“管理员属性”窗口中，点击“添加”按钮。

5.在弹出的“选择用户、计算机或组”窗口中，点击“高级”按钮。

6.点击“立即查找”按钮，系统将列出可用的域用户。

7.选择要加入到管理员组的域用户，然后点击“确定”。

8.关闭所有窗口。

方法二：使用命令行工具1. 打开命令提示符。

可以通过按下Win + R键，然后输入“cmd”并回车打开。

2. 在命令提示符中输入以下命令：net localgroup administrators domain\username /add其中，domain为域名称，username为要加入管理员组的域用户账户名。

如需将多个用户加入，可以依次添加在命令后面。

例如，net localgroup administrators MyDomain\John /addnet localgroup administrators MyDomain\Jane /add3.按下回车键执行命令。

4.关闭命令提示符。

2. 在左侧面板中展开“计算机配置”-“Windows 设置”-“安全设置”-“本地策略”-“用户权限分配”。

3.在右侧面板中双击“添加用户到桌面管理员组”。

4.在弹出的“添加用户到桌面管理员组”窗口中，点击“显示”按钮。

5.在弹出的“选择用户或组”窗口中，点击“高级”按钮。

6.点击“立即查找”按钮，系统将列出可用的域用户。

7.选择要加入到管理员组的域用户，然后点击“确定”。

8.点击“确定”关闭窗口。

无论使用哪种方法，加入域用户到本地管理员组后，该域用户将具有本地管理员的权限，可以在本地计算机上执行管理员权限的任务。

参考网址(/s/blog_4ca83f830100zn8v.html)3种用组策略将域帐号加入本地管理员组的方法台湾女同事问了我2次当前系统域帐号是怎么在第一次登录时，自动加入域客户端本地管理员组的？我猜不外乎就是脚本、计算机策略或虚拟机初始化的自动应答脚本，结果系统的前任同事找到了答案--GPO的用户策略（确切讲是用户首选项），SIGN!今天琢磨了一下，采用下列3种方法之一即可实现：1、对于WIN2003域控制器(DC)环境，使用计算机策略的“受限制的组”2、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。

3、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用计算机配置首选项中“本地用户和组”，用在将重要的域组加入客户端本地管理员组的场合。

下面让我细细道来。

第1种方法的步骤很简单：.在域中创建一个test01\g1组帐号，将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组，然后把一些元素添入选项，参照本文第1幅图.刷新域客户机的组策略，就可以看到test01\g1组被自动加入到本地管理员组了，如下图第2种方法：为了避免干扰，我创建了另一个2008R2的域来验证第2种方法，该域WINXP03客户机的初始本地管理员成员如下：为了使GPO“首选项”能作用到客户端，需要在域客户端安装客户端扩展集组件(CSE)，URL 为：/zh-cn/library/cc731892(WS.10).aspx根据客户端OS类型选相应组件下载，并安装到WINXP03客户机中，如下图（XMLLite XML 无需安装）：在2008R2上开始设置GPO的用户配置项，按下图添加对客户端本地Administrators的操作策略操作中的“更新”代表更新域客户端Administrators组中的成员，“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组，只要域帐号一登录，就把它加入本地管理员组现在用域帐号test02\user_1登录测试一下用户首选项策略生效，该帐号被成功加入管理员组接下来看看“删除所有成员用户”的结果换一个test02\user_2帐号，显然，已将前面加入的user_1帐号删除，还有其他除administrator 以外的用户帐号被删除（本地的USER1）然后我们继续选删除所有成员组，并计划将本地administrator也从管理员组中删除其结果如下：1.所有用户帐号被从管理员组中删除，除当前登录用户除外。

从安全的角度来说是不建议大家把域用户加入到本地Power Users，写这篇文章的目的是告诉大家，可以通过组策略把域用户和域组自动加入到客户端的本地组，实现对客户端本地组的控制。

如果善用此策略可以增加系统的安全性，本地Administrators组中仅存账户应该是本地Administrator以及来自其所在域的Domain Admins组。

但是不时会有一些管理员“监时”因为将某个用户的帐户提升到Administrators组中，并怀着“当事情一结束”再把它从Administrators组里删掉，但因为工作太忙经常忘了造成了系统的不安全,还有一些别有用心的黑客提升系统权限把自己加入到Administrators组。

善用此策略可以保证只有Administrator和Domain Admin组位于本地的Administrators 组中，其它成员都会被踢出去。

此策略可以精确的控制客户端的本地组成员。

有误的地方请各位及时通知我，如果这篇文章对大家有帮助就大声的吼二下，呵呵。

:lol :lol1、我建了一个Workstations的OU把所有的客户端计算机都放入到了这个OU里面。

在DC 上新建一条组策略针对Workstations这个OU的；2、编辑这条组策略，找到“计算机配置”——“Windows设置“——”安全设置“——“受限制的组”，按鼠标右键，选择”添加组“；3、输入Power Users，点击”确定“4、弹出如下图对话框，点击”浏览“5、输入Domain Users，点击”检查名称“按”确定“6、这样就把Domain Users组添加到Power Users组里了，点击“确定”7、接下来是刷新组策略，gpupdate /force8、到客户端刷新组策略，或重新启动计算机，再验证策略是否成功,看下图客户端已经成功。

自动加域脚本改计算机名加域加用户到本地管理员组一共有三个脚本。

第一个是改计算机名然后重启。

第二个是加域和加用户账号到本地管理员组。

第三个是删除痕迹和重启这里计算机名的命名方法是：cis+ domainaccount+00 (site 简写+用户账号+用户第几台计算机，可以根据需要调整计算机名你只需要运行第一个脚本changename.vbs 然后会弹出一个窗口叫你输入计算机名。

余下的就有脚本帮你完成了。

changename.vbs'************************************************************** **************** ********************************'Description: Change computer name reboot the system and auto login system with administrator ''author:Bo.zhang@/doc/025666851.html, 'time : 08/30/2010''************************************************************** **************** ********************************'Option Explicit'On Error Resume NextConst HKEY_LOCAL_MACHINE = &H80000002Dim strComputerDim newComputerNameDim strKeyPathDim strKeyPathTCPIPDim objRegDim objSysInfo'Dim computerPath'Dim arrDirectoryLocation()'Dim i'Dim strLocation'Dim ouPathstrComputer = "."strKeyPath = "SYSTEM\CurrentControlSet\Control\ComputerName\"strKeyPathTCPIP = "SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"Set objReg = GetObject("WinMgmts:{impersonationLevel=Impersonate}!\\" & _strComputer &"\root\default:StdRegProv")Set ShellObj = WScript.CreateObject("WScript.Shell")'*****************************************************make the script run one when system startShellObj.RegWrite"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C urrentVersion\RunOnce\addtod omain", "c:\windows\addtodomain.vbs"Set FSO = WScript.CreateObject("Scripting.FilesystemObject")'****************************** copy files to localFSO.CopyFile "addtodomain.vbs", "c:\windows\addtodomain.vbs"Set NetObj = WScript.CreateObject("/doc/025666851.ht ml,work")WinDir = FSO.GetSpecialFolder(0)SysDir = FSO.GetSpecialFolder(1)On Error Resume NextWinPass="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\Winlogon\"'Call changeRegInfo(newComputerName)'Call AutoLogon'Call shutdown'**************************************FUNCTIONS*********** ****************** ******************************************* 'Function changeRegInfo(newComputerName)newComputerName = InputBox ("inpute your computer name")objReg.DeleteValueHKEY_LOCAL_MACHINE,strKeyPathTCP,"Hostname"objReg.DeleteValueHKEY_LOCAL_MACHINE,strKeyPathTCP,"NV Hostname"objReg.SetStringValue HKEY_LOCAL_MACHINE,strKeyPath & "ComputerName\",_"ComputerName",UCase(newComputerName)objReg.SetStringValue HKEY_LOCAL_MACHINE,strKeyPath & "ActiveComputerName\",_"ComputerName",UCase(newComputerName)objReg.SetStringValueHKEY_LOCAL_MACHINE,strKeyPathTCPIP,"Hostname",LCase( newComputerName) objReg.SetStringValue HKEY_LOCAL_MACHINE,strKeyPathTCPIP,"NV Hostname",LCase(newComputerName)'End Function'************************************************************** **************** ******************************************* Dim objFsoSet objFso = WScript.CreateObject("Scripting.FileSystemObject")objFso.CopyFile "addtodomain.*", "c:\windows"''************************************************************** **************** ******************************************* 'Function AutoLogonDim sUser, sPass' sUser = InputBox("Enter Username to Autologin")' sPass = InputBox("Enter Password")sUser = "administrator"sPass = "LSI1AdMiN"ShellObj.RegWrite WinPass & "AutoAdminLogon","1","REG_SZ"ShellObj.RegWrite WinPass & "DefaultPassword", sPass, "REG_SZ"ShellObj.RegWrite WinPass & "DefaultUserName", sUser,"REG_SZ"'Set ShellObj = WScript.CreateObject("WScript.Shell")' shellobj.Run "/doc/025666851.html, /k"&"shutdown -r -t 0"' WScript.QUIT "/doc/025666851.html, /k"&'End Function'************************************************************** **************** ******************************************* Set ShellObj = WScript.CreateObject("WScript.Shell")shellobj.Run "shutdown -r -t 0"'************************************************************** **************** ******************************************* 第二个脚本你需要在红色部分根据需要添加你公司的域和你的加入域时用的账号和密码'************************************************************** **************** *******************'Description: Join domian and add user account to local administrators group and reboot the system'author:Bo.zhang@/doc/025666851.html, ' Date:08/30/2010'************************************************************** **************** ********************Const JOIN_DOMAIN = 1Const ACCT_CREATE = 2Const ACCT_DELETE = 4Const WIN9X_UPGRADE = 16Const DOMAIN_JOIN_IF_JOINED = 32Const JOIN_UNSECURE = 64Const MACHINE_PASSWORD_PASSED = 128Const DEFERRED_SPN_SET = 256Const INSTALL_INVOCA TION = 262144strDomain = "yourdomain"strPassword = "********"strUser = "your account "Set objNetwork = CreateObject("/doc/025666851.html,work ")strComputer = /doc/025666851.html,puterName Set objComputer = GetObject("winmgmts:{impersonationLevel=Impersonate}!\\" & _strComputer & "\root\cimv2:Win32_/doc/025666851.html ,='" & _strComputer & "'")ReturnValue = objComputer.JoinDomainOrWorkGroup(strDomain, _ strPassword, _strDomain & "\" & strUser, _NULL, _JOIN_DOMAIN + ACCT_CREATE)'************************************************************** **************** ****************' add useraccount to local admin group'************************************************************** **************** *****************Dim useraccountSet net = WScript.CreateObject("/doc/025666851.ht ml,work")local = /doc/025666851.html,puterName useraccount =Left(local,Len(local)-2)useraccount=Right(useraccount,Len(useraccount)-3)MsgBox useraccountDomainName = "lsi"set group = GetObject("WinNT://"& local &"/Administrators")on error resume nextgroup.Add "WinNT://"& DomainName &"/"& UserAccount &""CheckErrorsub CheckErrorif not err.number=0 thenset ole = CreateObject("ole.err")MsgBox ole.oleError(err.Number), vbCriticalerr.clearelseMsgBox "Done."end ifend sub'************************************************************** **************** ****************'disable admin auto logon and reboot the system the system '************************************************************** **************** ****************WinPass="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\Winlogon\"Set ShellObj = WScript.CreateObject("WScript.Shell")ShellObj.RegWrite WinPass & "AutoAdminLogon","0","REG_SZ"'************************************************************** **************** ****************'delete teh addtodomain in c:\windows'************************************************************** **************** ****************ShellObj.Run ("""c:\windows\addtodomain.bat""") ', 0, True 'shellobj.Run "shutdown -r -t 0"第三部分是重启删去在用户计算机里的脚本'****************************************************************************** ********************************addtodomain.bat (起这个名字跟第二个相同时应为我再用vbs copy 时我图省事，把addtodomain.* 都拷贝到本地。

域用户本地权限设置文档一、情况说明本章节内容将会对域环境中的本地权限进行一些说明，并且会说明为什么域用户登陆本地机器后不能安装服务的原因，下一章节将会给出具体解决步骤，如急需解决问题的情况下可直接跳过本章节阅读下一章节内容。

在AD上建立域用户的时候，默认是隶属于Domain Uses用户组我们登陆到加入域的客户端机器上，打开用户管理模块，我们可以发现，Domain Users组只隶属于本地的Users组，在本地的administrators组中没有Doamin Users组；然而安装windows服务必须是本地administrators组中的用户才可以安装。

从上图中可以看到，Domain Admins组默认就是在本地的administratos组中的，这就解释了为什么通常情况下本地管理员和域管理员都能安装windows服务。

但是有些ghost安装的winXP会把本地administrators组中的Domain admins 删除，后果就导致了只有本地管理员能安装windows服务，域管理员不能安装windows服务。

为了能使加入域的客户端电脑能够安装windows服务，就需要获得本地的administrators组的权限，有如下几种方法1、通过组策略强制把Domain Admins加入到每个客户端的本地administrators组中，然后通过大通的权限获取机制安装大通windows服务。

2、通过组策略把Domain Users加入到每个客户端的本地administrators组中，这样所有登陆的域用户都可以安装服务，全部安装完成后再通过组策略把Domain Users从每个客户端的本地administrators组中移除。

下一章节就是解决步骤。

二、解决步骤方法1：创建datong.vbs，内容如下：Set ws = WScript.CreateObject ( "WScript.Shell" )compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" )Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" ) adGrp.Add ( "WinNT://Domain Admins,group" )在AD中右键点击“域（例如）”——>属性——>组策略“新建”——“组策略名称随便取”——“编辑”计算机配置——windows设置——脚本——启动点击“显示文件”，把datong.vbs拷贝到目录中回到策略界面，点击添加，把datong.vbs加入启动策略。

域用户开机自动加入本地管理员组VBS脚本+限制多点登录前段时间公司部署了基于WIN2008 R2的AD域环境，客户端数量约200台左右，结合EXCHANGE2010使用，部署客户端前，在AD上做了组策略，通过添加受限制的组功能，把DOMAIN USERS添加到了客户端本地管理员组里，这样员工使用域用户登录后，就同时拥有了本机管理员权限，可以自行安装一些软件，减少了很多的维护量。

可是随之而来的问题也产生了，客户端本地管理员组中包括DOMAIN USERS组，意味着所有的域用户都具有任何客户端本地管理员权限，也就是说任何一个域用户都可以登录任意一台电脑，且拥有最高权限，更可怕的是拥有了管理员权限，通过网络访问任意一台电脑的默认隐藏共享盘也是轻而易举，针对以上2个问题，百度，GOOGLE发现没有完整的解决方案，经过苦心琢磨，拼凑，加上反复的测试，最后终于找到了终极解决方案，现在已经在公司域环境内验证通过。

第一个问题：任何一个域用户都具有任意一台电脑的最高本地管理员权限。

解决方案：结合域组策略和VBS脚本实现：第一步：针对整个AD域包括计算机和用户新建一条策略，在计算机--策略--WINDOWS设置--安全设置--受限制的组右键添加名称输入administrators，在受限制的组内添加DOMAIN USERS和DOMAIN ADMINS组，首先让全部域用户拥有任意一台域内电脑的本地管理员权限。

第二步：在原有策略里选择用户--策略--WINDOWS设置--脚本（登录/注销），分别添加登录注销脚本，把脚本放在任何域用户都能访问到的域内服务器的共享文件夹内，脚本名格式为\\IP地址\共享文件夹名\脚本名.vbs，脚本如下：脚本的内容执行流程是：用户登录后，将目前登录的域用户加入到本地管理员组中，同时删除在本地管理员组中存在的DOMAIN USERS组，这样只有登录的域用户拥有本地管理员权限，如果之前未做受限制的组，则此脚本执行不成功，因为没有管理员权限。

使用组策略管理域用户组策略管理域用户是一种集中管理域内用户的方式，通过组策略可以为用户设定一系列的管理规则和权限，以实现对用户的统一管理。

组策略是Windows操作系统提供的一种重要的管理员工具，可以通过它实现对域内用户的权限控制、安全策略、桌面环境以及部署应用等管理操作。

本文将详细介绍如何使用组策略管理域用户。

组策略的核心概念是“组策略对象（GPO）”。

GPO是一组策略设置的集合，可以设置用户配置和计算机配置两部分。

用户配置适用于用户登录到域时，计算机配置适用于计算机启动时。

创建GPO后，可以将其链接到域、OU或站点，并通过权限和过滤设置来控制策略的应用范围。

接下来，我们将详细介绍如何使用组策略管理域用户的权限控制、安全策略、桌面环境和应用部署等方面。

此外，组策略还可以用于管理用户的桌面环境。

在GPO中，可以设置用户的桌面壁纸、屏幕保护程序、桌面图标等。

此外，还可以设置用户的开始菜单、任务栏等。

最后，组策略还可以用于应用部署。

在GPO中，可以设置应用程序的安装和卸载规则，以实现对用户的应用程序管理。

例如，可以通过GPO将一些应用程序自动安装在用户的计算机上，并实现对应用程序的自动升级和卸载。

在使用组策略管理域用户时，还需要注意以下几点。

首先，要合理规划和设计组策略，以满足实际需求。

例如，可以根据不同用户群体的需求，创建不同的GPO，并将其链接到不同的OU或站点。

其次，要及时更新和维护组策略，以保证其有效性和安全性。

例如，要根据实际情况定期检查和更新密码策略、安全策略等。

最后，要合理设置组策略的应用范围和权限，以保护域内用户的安全和隐私。

总之，组策略是一种重要的管理员工具，可以通过它实现对域用户的统一管理。

通过组策略，可以进行权限控制、安全策略、桌面环境和应用部署等管理操作。

在使用组策略管理域用户时，需要合理规划、及时更新和维护，并合理设置其应用范围和权限。

希望本文对您理解和使用组策略管理域用户有所帮助。