Windows Server 2012 AD DS环境下域用户自动加入本地管理员组

WindowsServer2012ADDS环境下域用户自动加入本地管理员组

认识的朋友多了，你会发现朋友的要求简直五花八门。就像给手机客户端添加域一样，有的客户规定添加域后，员工的域账号会自动添加到本地管理员组；还有客户规定。添加域后，这个员工的域账号只是一个受限的一般用户，不能拥有所有不必要的管理权限，包括更改网络配置等。好吧，用户的要求都是合理的。下面，我们来看看如何将域自动添加到本地管理员组。

大家的Server01是域控制器，然后找一个Win8.1作为远程服务器。如何升级域控制器这里就不描述了，网上有很多资料。要将域用户添加到本地管理员组，请应用用户设置首选项中的“本地用户和组”。登录帐户自动添加到本地管理员组的位置。或PC主机配置首选项中的“本地用户和组”，用于将关键域组添加到移动客户端的本地管理员组。

让我们来看看实际设置:

使用户配备首选项“本地用户和组”，以自动将帐户登录添加到本地管理员组

登录域控制器，按照域-用户配置-首选项- *** 作面板设置-本地用户和组打开对策，如下图所示:

在右边空白色，创建一个新的本地组，如下图所示:

因为需要在移动客户端的电子计算机上改变本地组的信息内容，所以选择新创建的本地组。

实际上，“升级”意味着升级域移动客户端管理员组的成员，而不是创建一个新组；“添加当前用户”是指将登录域帐户添加到移动客户端系统软件的本地管理员组。一旦域帐户登录，它将被添加到本地管理员组。您也可以选择“删除所有组成员”或删除右侧的所有组成员，这意味着在将登录用户添加到本地管理员组时删除其他组成员或组，从而动态添加管理员组，即把最近登录的用户保留在管理员组中。这里不做选择，先来看看实际效果。

让我们登录Win8.1，检查今天的用户是否已经添加到管理员组。注意，由于我是这里客户的真实POC环境，所以我也在Massek中放了一些敏感信息。

成功登录后，我们打开这个远程服务器的本地用户和组，双击鼠标打开管理员组，可以看到如下页面。好干部不需要细说:

实验成功了！此时登录用户是管理员，管理权限极高。什么网络配置，安装程序，卸载程序，系统设置的改动都是张飞做的！如果只想保存当前用户，删除其他用户，实际 *** 作如下图所示:

自然，域名管理员仍然可以被拯救，而不会像我在照片中所做的那样残忍。然后，移动客户端再次登录并再次启动管理员查询，如下图所示:

但是，请注意，这种情况仅适用于Win7和更高版本的计算机 *** 作系统。比如XP/2003等，必须安装软件才能应用“偏好设置”功能。下载链接:https://technet.microsoft.com/zh-cn/library/cc731892(ws.10)。文件

不一定每个人都会用。毕竟已经是两个退役货了。此外，如果要将某个组添加到本地管理员组，建议在计算机主机配置下应用“本地用户和组”的角色。