域用户本地权限设置

域用户本地权限设置文档一、情况说明本章节内容将会对域环境中的本地权限进行一些说明，并且会说明为什么域用户登陆本地机器后不能安装服务的原因，下一章节将会给出具体解决步骤，如急需解决问题的情况下可直接跳过本章节阅读下一章节内容。

在AD上建立域用户的时候，默认是隶属于Domain Uses用户组我们登陆到加入域的客户端机器上，打开用户管理模块，我们可以发现，Domain Users组只隶属于本地的Users组，在本地的administrators组中没有Doamin Users组；然而安装windows服务必须是本地administrators组中的用户才可以安装。

从上图中可以看到，Domain Admins组默认就是在本地的administratos组中的，这就解释了为什么通常情况下本地管理员和域管理员都能安装windows服务。

但是有些ghost安装的winXP会把本地administrators组中的Domain admins 删除，后果就导致了只有本地管理员能安装windows服务，域管理员不能安装windows服务。

为了能使加入域的客户端电脑能够安装windows服务，就需要获得本地的administrators组的权限，有如下几种方法1、通过组策略强制把Domain Admins加入到每个客户端的本地administrators组中，然后通过大通的权限获取机制安装大通windows服务。

2、通过组策略把Domain Users加入到每个客户端的本地administrators组中，这样所有登陆的域用户都可以安装服务，全部安装完成后再通过组策略把Domain Users从每个客户端的本地administrators组中移除。

下一章节就是解决步骤。

二、解决步骤方法1：创建datong.vbs，内容如下：Set ws = WScript.CreateObject ( "WScript.Shell" )compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" )Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" ) adGrp.Add ( "WinNT://Domain Admins,group" )在AD中右键点击“域（例如）”——>属性——>组策略“新建”——“组策略名称随便取”——“编辑”计算机配置——windows设置——脚本——启动点击“显示文件”，把datong.vbs拷贝到目录中回到策略界面，点击添加，把datong.vbs加入启动策略。

作为网管员,很多时候客户端的权限问题乃是最为纠结的一件事了,下面我们向大家介绍下通过组策略的文件系统向客户端赋权,这样的话大大节省了网管员的时间,也避免了客户端因为软件不能正常运行而抱怨不休的情况。

在调整设置的时候，下列问题要注意:该策略是针对计算机的策略是应用在计算机设置上可能客户端组策略结果中无法正常显示出策略应用集，但是却能够正常使用（这也是我纳闷的一点）使用相对路径的时候注意大小写的书写不建议对对所有文件夹赋权，以免客户端对系统盘操作权限过大，照成系统未知问题参考文章:在附件，请下载查看！1、我们在域控上打开组策略管理器，选中需要调整这个设置的组织单元，右键点击新建组策略，在选中新建的策略，右键选择编辑2、在弹出的组策略管理编辑器页面中选择计算机配置--策略--windows设置--安全设置--文件系统，右键点击文件系统，在点击添加文件3、在弹出的对话框里选择对应域用户下面的桌面的对应位置，点击确定。

会弹出右下边的图请注意：这里输入的是绝对路径，（作为域控，肯定不会安装一些日常应用软件，因此而导致服务器上不存在与客户端对应的文件夹，所以我们需要用到相对路径来达到我们的目的），而客户端又有XP和win7之分，大家都知道，win7系统是有Program Files和Program Files（X86）两个文件夹，所以这里我们也要添加两个。

实际环境中不建议把Program Files整个文件夹的权限给domain users 应该针对其中的部分软件安装的文件夹路径赋权，以免造成客户端权限过大而导致系统被更改等等原因，这样的话就有点得不偿失了。

文件夹路劲是可以手动输入的。

在添加无管理员权限的用户桌面的时候，是添加%systemdrive%\users\public\desktop或者%UserProfile%\Desktop这个路劲。

有管理员权限的用户就是用户名所对应的文件夹下面的桌面。

4、点击添加，在弹出的对话框里输入domain users再点击右边的检查名称，然后再点击确定5、选中刚刚添加的domain users，在下面的权限允许里调整权限，调整好后点击应用，再点击确定6、在弹出的对话框中我们设置相应的权限，我们设置的权限为除了完全控制其他全部赋予客户端，然后点击确定，在这一步弹出的页面中询问关于此文件夹的权限问题：添加此权限到所有子文件夹和文件此权限替换所有子文件夹和文件的权限不允许此权限下发到子文件夹和文件这里我们选择替换所有子文件夹和文件的权限，同理添加其他文件夹，权限设置与此一致。

Windows域的权限管理方法1. 概述Windows域是一种由微软推出的网络管理架构，用于集中管理和控制Windows操作系统的计算机、用户和资源。

在一个Windows域中，权限管理是非常重要的一项任务，它能够确保只有授权的用户能够访问和操作特定的资源。

本文将介绍Windows域的权限管理方法，包括用户权限管理、组权限管理和对象权限管理。

2. 用户权限管理用户权限管理是指对Windows域中的用户进行权限控制和管理。

以下是一些常用的用户权限管理方法：2.1. 用户权限分级不同的用户可能需要不同的权限来访问域中的资源。

Windows域提供了一套权限分级机制，可以将用户划分为不同的权限组，例如管理员、普通用户和只读用户等。

管理员拥有最高的权限，可以对域中的所有资源进行管理和操作，而只读用户只能查看资源的内容，无法进行修改。

2.2. 用户角色管理除了权限分级外，Windows域还支持用户角色管理。

用户角色是一组权限集合，可以预先定义好一些常用的角色，并将用户分配给不同的角色。

这样可以简化权限管理，减少管理员的工作量。

当用户加入或退出一个角色时，其权限也会相应地改变。

2.3. 用户密码策略用户密码是保护域中资源的重要措施之一。

Windows域可以设置密码策略，要求用户使用强密码，并定期更换密码。

密码策略可以包括密码长度、密码复杂度要求、密码有效期等。

3. 组权限管理组权限管理是通过将用户分组来管理和分配权限。

以下是一些常用的组权限管理方法：3.1. 域本组和特殊组Windows域中有一些预定义的基本组和特殊组，例如”Administrators”、“Domain Admins”和”Domain Users”等。

这些组都有特定的权限和角色，可以直接使用或进行自定义设置。

通过将用户添加到这些组中，可以一次性地为多个用户分配权限。

3.2. 自定义组除了基本组和特殊组外，Windows域还支持自定义组。

管理员可以根据需要创建自己的组，并为其指定权限和角色。

有四个类型，分别是本地、漫游、强制、临时。

本地就是你的配置文件保存在本地计算机。

漫游就是保存在你域控的文件夹中，强制也是保存在域控上，不过你对用户配置目录下做任何更改都不会上传到域控的那个文件夹上，也就是你做的更改不会保存到域控中。

比如你要在桌面上新建一个文档，重启后就没有了。

临时是遇到系统故障，或磁盘空间不足，系统就会临时建立一个配置文件，同样也是不保存的。

实验环境使用VMW虚拟机，客户端为Windows XP SP2，服务器端为Windows Server 2003 SP2企业版。

首先将服务器端安装好活动目录，无需任何设置，默认安装即可，并将客户端加入到域。

下面开始具体操作1、首先在服务器端用Active Directory用户和计算机管理工具建立一个User，我这里以“小五”为用户名，如下图2、在服务器端建立保存用户配置文件的共享文件夹，本文在c盘建立了一个user文件夹，用来保存所有用户配置文件，然后再user文件夹下建立一个“小五”文件夹，用来保存“小五”用户的配置文件。

这里面一定要注意权限的设置，在共享文件夹中的权限去掉everyone，然后找到我们域中的用户“小五”，给他所有权限。

3、进一步权限设置，如图这样权限方面问题已经设置完成4、在Active Directory用户和计算机管理工具中为“小五”用户设置用户配置文件漫游，如图192.168.1.201为我们的服务器，后面所接的“user/小五”为保存用户配置文件的共享文件夹主文件夹相当于用户的“我的文档”，这里面映射到服务器上，更能保证用户文件安全性与可靠性。

现在配置基本完成，我们从客户端登录一下试试看初次登陆之后，我们注销，这样，本地的配置文件，就会自动保存到服务器上对应的文件夹。

回到服务器上我们会看到生成好多文件，刚才这里面还是空的这些文件就是我们注销的时候下面提示正在保存配置文件的时候，其实就是把文件写入我们服务器里面了。

域学习笔记七：将域⽤户添加到本地管理员组
前⾔：域中的普通⽤户，登录电脑后很多权限是受限的，⽐如不能更改⽹络设置等等。

假如想让域⽤户能对本地做更多的权限操作，可以让它加⼊到本地管理员组。

1.1、使⽤本地管理员账号登录客户端主机sales01。

1.2、在控制⾯板的管理⼯具中，双击打开"计算机管理"。

1.3、在系统⼯具的本地⽤户和组下⾯，点击"组"，双击右边的"Administrators"。

1.4、可以看到，域管理员默认是本地系统管理员。

此时，点击"添加"。

1.5、输⼊"sales01"，点击"检查"。

1.6、输⼊域的管理员账号及密码，点击"确定"。

1.7、点击"确定"。

1.8、最后点击"应⽤"再点击"确定"即可。

1.9、现在使⽤张三的账号登录sales01这台电脑，此时已经拥有了更改⽹络设置等权限。

给域用户赋予本机管理员权限
2011-06-19 18:18:55| 分类：Windows | 标签：|举报|字号大中小订阅
之前对域也有所了解，知道域是网络对象的分组，其安全性要高于工作组，不是想进就能进，想退就能退的，需要经过域管理员的同意。

域用户可以使用自己的域帐号开启其它加入此域的主机，哪怕这台机子上并不存在该帐号。

一般情况下，域用户不具有本机的管理员权限，不能随意安装所需要的软件，开启所需要的服务，甚至对于本机的其它磁盘也都是只读权限。

由于域用户不同于本机用户，为域用户赋予权限也有别于本机用户。

那么，如何给域用户赋予本机的管理员权限呢？
首先，配置本机IP地址，DNS服务器为域服务器的IP地址（当然，也可以是其它DNS服务器。

这里是为了保证与域服务器在同一网段。

）：
（域服务器）
（本机）“我的电脑”→右键“属性”→“计算机名”：
点击“更改”→隶属于“域”，输入域（此域必须是已存在的，域服务器必须开启）：
接着，输入域管理员帐号和密码：
重启机子，让更改生效。

点击“选项”按钮：
此时，出现一个“登录到”选项框，这里先选择“本机”，以管理员身份登录。

“我的电脑”→右键“管理”→“计算机管理（本地）”→“系统工具”→“本地用户和组”→“组”：
双击或右键属性“Administrators”：
点击“添加”：
点击“高级”，输入域管理员帐号和密码：
点击“立即查找”，找到要赋予本机管理员权限的域用户，单击“确定”：
注销本机管理员帐号，以域用户身份登录到域：
此时的域用户就拥有了本机的管理员权限。

针对Windows Server2003给域账户设置管理员权限【也适用XP】针对袁绪军写的【如何加入域】第5步，在server中没找到用户账户，故用一下步骤取代1、如图，在【我的电脑】上右键，点击【管理】2、如图，在弹出的【计算机管理】页面：选中【本地用户和组】->【组】中，在Administrators 上右键，点击【添加到组】3、如图，点击【添加】4、如图，在弹出的对话框中，点击【高级】5、如图，此时会弹出域服务器的验证。

输入域服务器192.168.0.173的用户名和密码。

点击【确定】6、上一步确定后，如图，点击【立即查找】7、找到刚才加入域的用户“XXX”，选中后，点击【确定】8、如图，再次点击【确定】9、如图，再次点击【确定】，至此，给域账户设置管理员权限完毕。

出师表两汉：诸葛亮先帝创业未半而中道崩殂，今天下三分，益州疲弊，此诚危急存亡之秋也。

然侍卫之臣不懈于内，忠志之士忘身于外者，盖追先帝之殊遇，欲报之于陛下也。

诚宜开张圣听，以光先帝遗德，恢弘志士之气，不宜妄自菲薄，引喻失义，以塞忠谏之路也。

宫中府中，俱为一体；陟罚臧否，不宜异同。

若有作奸犯科及为忠善者，宜付有司论其刑赏，以昭陛下平明之理；不宜偏私，使内外异法也。

侍中、侍郎郭攸之、费祎、董允等，此皆良实，志虑忠纯，是以先帝简拔以遗陛下：愚以为宫中之事，事无大小，悉以咨之，然后施行，必能裨补阙漏，有所广益。

将军向宠，性行淑均，晓畅军事，试用于昔日，先帝称之曰“能”，是以众议举宠为督：愚以为营中之事，悉以咨之，必能使行阵和睦，优劣得所。

亲贤臣，远小人，此先汉所以兴隆也；亲小人，远贤臣，此后汉所以倾颓也。

先帝在时，每与臣论此事，未尝不叹息痛恨于桓、灵也。

侍中、尚书、长史、参军，此悉贞良死节之臣，愿陛下亲之、信之，则汉室之隆，可计日而待也。

臣本布衣，躬耕于南阳，苟全性命于乱世，不求闻达于诸侯。

先帝不以臣卑鄙，猥自枉屈，三顾臣于草庐之中，咨臣以当世之事，由是感激，遂许先帝以驱驰。

如何将域用户加入到本地管理员组将域用户加入到本地管理员组时，可以通过以下几种方法实现：方法一：使用计算机管理工具1.打开“计算机管理”工具。

可以通过右键点击“此电脑”图标，然后选择“管理”打开该工具。

2.在左侧面板中选择“本地用户和组”-“组”。

3.在右侧面板中找到并双击“管理员”组。

4.在弹出的“管理员属性”窗口中，点击“添加”按钮。

5.在弹出的“选择用户、计算机或组”窗口中，点击“高级”按钮。

6.点击“立即查找”按钮，系统将列出可用的域用户。

7.选择要加入到管理员组的域用户，然后点击“确定”。

8.关闭所有窗口。

方法二：使用命令行工具1. 打开命令提示符。

可以通过按下Win + R键，然后输入“cmd”并回车打开。

2. 在命令提示符中输入以下命令：net localgroup administrators domain\username /add其中，domain为域名称，username为要加入管理员组的域用户账户名。

如需将多个用户加入，可以依次添加在命令后面。

例如，net localgroup administrators MyDomain\John /addnet localgroup administrators MyDomain\Jane /add3.按下回车键执行命令。

4.关闭命令提示符。

2. 在左侧面板中展开“计算机配置”-“Windows 设置”-“安全设置”-“本地策略”-“用户权限分配”。

3.在右侧面板中双击“添加用户到桌面管理员组”。

4.在弹出的“添加用户到桌面管理员组”窗口中，点击“显示”按钮。

5.在弹出的“选择用户或组”窗口中，点击“高级”按钮。

6.点击“立即查找”按钮，系统将列出可用的域用户。

7.选择要加入到管理员组的域用户，然后点击“确定”。

8.点击“确定”关闭窗口。

无论使用哪种方法，加入域用户到本地管理员组后，该域用户将具有本地管理员的权限，可以在本地计算机上执行管理员权限的任务。

在Windows系统中设置和管理用户账户在Windows系统中，用户账户是操作系统的核心组成部分之一。

正确地设置和管理用户账户可以保护计算机安全，并为每个用户提供独立的工作空间。

本文将详细介绍如何在Windows系统中设置和管理用户账户，包括创建、修改、删除用户账户以及分配权限等方面。

第一章：用户账户的基本概念和分类在Windows系统中，用户账户有两种主要类型：本地用户账户和域用户账户。

本地用户账户仅适用于本地计算机，而域用户账户则可以在网络中共享，通常由Windows服务器管理。

用户账户还可以分为多种类型，如管理员账户、标准用户账户、受限用户账户等等，不同类型的用户账户具有不同的权限和访问级别。

第二章：创建新的用户账户要创建新的用户账户，首先需要以管理员身份登录系统。

然后，打开“控制面板”并选择“用户账户”。

在用户账户操作界面，点击“创建新账户”选项。

接下来，输入新账户的名称和密码，根据需要选择用户账户类型。

最后，单击“创建账户”按钮，即可成功创建新账户。

第三章：修改用户账户设置为了满足不同用户的需求，Windows系统提供了丰富的用户账户设置选项。

在“用户账户”界面中，选择要修改的账户，并点击“更改账户类型”或“更改账户设置”选项。

用户可以修改账户的名称、密码、类型和注释等信息。

此外，还可以为账户设置头像图片和关联的Microsoft账户。

第四章：删除用户账户在某些情况下，我们需要删除不再使用的用户账户。

在“用户账户”界面中，选择要删除的账户，并点击“删除账户”选项。

系统会提示用户确认操作，确认后，该账户及其相关数据将被永久删除。

需要注意的是，只有管理员账户可以执行账户删除操作。

第五章：切换用户账户和注销操作在Windows系统中，用户之间可以通过切换用户账户来共享计算机。

切换用户账户是指将当前用户从系统注销，并切换到另一个用户账户。

用户可以点击系统托盘中的用户图标，选择要切换的用户账户，输入相应密码后即可完成切换。

AD域设置⽤户权限_ADManagerPlus如何对AD域权限进⾏管理？近⼏年windows环境普遍被应⽤于企业⺴络，AD域有效管理成为众多企业IT管理员需要⾯临的重要课题。

企业⼈员不断扩充是其良性发展的重要标准，随着⼈员的不断增加，企业AD域管理⼯作也愈发难以开展。

域内员⼯信息的增删改查，新⼊职员⼯的信息录⼊，批量重置修改密码，⽤户权限的合理分配，不知道哪项⼯作是压垮IT管理员的最后⼀刻稻草？想要⾼效对AD域进⾏管理，单纯依靠⼈⼯已经不再现实了。

所以企业AD管理⼯具的应⽤是未来趋势。

AD域设置⽤户权限_ADManager Plus如何对AD域权限进⾏管理？ADManager Plus是⺫前AD域管理⼯具当中⽐较优质的⼀款，⽆论在品牌影响⼒上，还是在事件处理能⼒上，ADManager Plus都值得各类企业选择。

针对企业AD域管理过程中所遇到的诸多难题，ADManager Plus都给出了相应的处理⽅案。

现在就让我们来看⼀下ADManager Plus是如何处理上述AD域管理难题的。

⼀，针对AD域内批量处理事件(⽤户信息的批量修改，密码的批量重置，⽤户的批量创建与删除)给出了csv⽂件上传与⾃定义模板两种⽅案。

完全解决了批量事件的处理难题。

⼆，在⽤户权限分配问题上，ADManager Plus利⽤其委派功能，对相关权限进⾏委派，当员⼯顺利完成委派任务时，及时对其权限进⾏回收。

三，ADManager Plus还能⽣成多类报表，通过这些报表我们能对域内发⽣的各类事件进⾏跟踪，⼀旦⽤户出现⾮法⾏为及时进⾏制⽌，避免因为误操或⾏为上的不合规所引起的⺴络安全问题。

AD域设置⽤户权限_ADManager Plus如何对AD域权限进⾏管理？ADManager Plus拥有的功能完全可以覆盖所有AD域的管理需求。

在这⾥我们就不详细的⼀⼀介绍了。

如果您对AD域管理软件感兴趣，想实现企业AD域⾃动化管理，可以访问卓豪官⺴，即可对ADManager Plus进⾏更详细的了解。

域⽤户共享⽂件夹权限设置、共享⽬录给域⽤户权限、ad域共享⽂件夹权限设置⽅法现在公司局域⽹中，通过搭建Windows AD域控制器来实现⽹络管理的现象极为普遍。

同时，通过域环境来共享⽂件、设置域⽤户访问共享⽂件的情形⽐较多。

那么，域环境下如何有效设置共享⽂件访问权限、如何监控共享⽂件访问⽇志呢？可以通过以下两种⽅法来实现：⽅法⼀、按照操作系统的共享⽂件访问权限设置的⽅法来设置域⽤户访问共享⽂件夹的权限。

在有域控制器的局域⽹内，⽂件服务器的共享⽂件夹可以轻松的设置复杂的访问权限，来应对公司各种⽂件保密的需求，这⼀点是⼯作组的计算机很难做到的。

下⾯我们就以Windows Server 2003的⽂件服务器为例来简单的介绍共享⽂件夹权限的设置。

右击需要共享的⽂件夹，在弹出的快捷菜单中选择“属性”，在属性窗⼝中选择“共享”选项卡，然后选中“共享此⽂件夹”，这时我们就共享的⼀个⽂件夹，接下来的⼯作就是设置权限了。

关于权限的设置，主要有两种⽅法。

第⼀种就是在属性窗⼝的“共享”选项卡进⾏简单的权限设置，第⼆种⽅法是在属性窗⼝的“安全”选项卡进⾏详细的设置。

如果是对⼀个共享⽂件夹⾥⾯的⼦⽂件夹设置权限，就只能⽤到第⼆种⽅法了。

先来介绍⼀下简单的权限设置，在属性窗⼝的“共享”选项卡上，单击“权限”按钮。

这样就进⼊的简单权限的设置了。

单击添加，就出现查找⽤户名或安全组的窗⼝了。

接下来就是添加⼀个⽤户，然后再设置简单的权限，总共就三项：完全控制，更改，读取。

⾄少查找⽤户的⽅法，在第⼆种权限设置⽅法中介绍。

详细的权限设置，共享⽂件夹及其⼦⽂件夹都能依照此⽅法设置。

先在“共享”选项卡中，将Everyone设置为完全控制。

打开“安全”选项卡，点击“添加”，出现查找窗⼝单击查找窗⼝中的“⾼级”按钮，弹出 “选择⽤户、计算机或组”的窗⼝来。

点击“⽴即查找”就能查找到域控制器上所有能看到的⽤户双击选中某⼀⽤户。

接着就能为该⽤户详细的指定权限了。