域用户本地权限设置

域用户本地权限设置文档

一、情况说明

本章节内容将会对域环境中的本地权限进行一些说明，并且会说明为什么域用户登陆本地机器后不能安装服务的原因，下一章节将会给出具体解决步骤，如急需解决问题的情况下可直接跳过本章节阅读下一章节内容。

在AD上建立域用户的时候，默认是隶属于Domain Uses用户组

我们登陆到加入域的客户端机器上，打开用户管理模块，我们可以发现，Domain Users组只隶属于本地的Users组，在本地的administrators组中没有Doamin Users组；然而安装windows服务必须是本地administrators组中的用户才可以安装。

从上图中可以看到，Domain Admins组默认就是在本地的administratos组中

的，这就解释了为什么通常情况下本地管理员和域管理员都能安装windows服务。

但是有些ghost安装的winXP会把本地administrators组中的Domain admins 删除，后果就导致了只有本地管理员能安装windows服务，域管理员不能安装windows服务。

为了能使加入域的客户端电脑能够安装windows服务，就需要获得本地的administrators组的权限，有如下几种方法

1、通过组策略强制把Domain Admins加入到每个客户端的本地

administrators组中，然后通过大通的权限获取机制安装大通windows服务。

2、通过组策略把Domain Users加入到每个客户端的本地administrators组

中，这样所有登陆的域用户都可以安装服务，全部安装完成后再通过组策略把Domain Users从每个客户端的本地administrators组中移除。

下一章节就是解决步骤。

二、解决步骤

方法1：

创建datong.vbs，内容如下：

Set ws = WScript.CreateObject ( "WScript.Shell" )

compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" )

Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" ) adGrp.Add ( "WinNT://Domain Admins,group" )

在AD中右键点击“域（例如）”——>属性——>组策略

“新建”——“组策略名称随便取”——“编辑”

计算机配置——windows设置——脚本——启动

点击“显示文件”，把datong.vbs拷贝到目录中

回到策略界面，点击添加，把datong.vbs加入启动策略。

完成后，客户端策略刷新（手动刷新命令是gpupdate /force），电脑重启后就有权限了。

方法2：

添加策略的操作步骤与方法1完全相同，增加权限的脚本和删除权限的脚本如下：

添加权限datong.vbs：

Set ws = WScript.CreateObject ( "WScript.Shell" )

compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" )

Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" ) adGrp.Add ( "WinNT://Domain Users,group" )

删除权限datong_del.vbs

strComputer = "."

On Error Resume Next

Set oGroupAdm = GetObject("WinNT://" & strComputer & "/Administrators")

For Each oAdmGrpUser In oGroupAdm.Members

sAdmGrpUser = LCase()

If (sAdmGrpUser <> "administrator") And (sAdmGrpUser <> "domain admins") Then

oGroupAdm.Remove oAdmGrpUser.ADsPath

End if

Next