当你管理成百上千台电脑时,难道你还能悠闲地迈着四方步到用户的电脑面前一台台来操作?相当不现实吧…… 估计用户都拿着C4候着你呢!
我们可以尝试将net localgroup "power users" "domainname\domain users" /add一条命令做成*.vbs开机脚本,使用域控制器的策略Link到相应的OU,这样当被设置的该脚本的用户登录时,就会自动执行net localgroup "power users" "domainname\domain users" /add这条命令。
但是值得关注的是,执行net localgroup "power users" "domainname\domain users" /add这条命令的帐号至少要是power users中的成员,而domain users登录到系统时是本地的users,登录时执行这个脚本将会出现拒绝访问之类的提示。
若先将DC里domain users的帐号提升到domain admins,这样用户登录时脚本能成功执行了,但用户的权限过于大了,若有不慎将会给整个企业带来很大的风险,如果不给这个权限脚本又无法执行,我们可以有一个比较折中的办法:
建一个临时的管理员帐号temporarily(临时账号,用完删除)。给temporarily的登录脚本命令:
net localgroup "power users" "domainname\domain users" /add
shutdown /l
shutdown /l
*执行加入组这个命令再强行注销,这样可以防止终端用户使用这个高权限账号
设置好上面这些后,我们就可以announce下面的用户第一次登录时请用temporarily帐号,当用temporarily帐号登录注销后再用各自的帐号登录,这样客户用自己帐号登录时就已经在本地的power users了,就有一定的权限使用之前无法用的软件,比如:译典通、词霸……
本文转自xury 51CTO博客,原文链接:http://blog.51cto.com/xury007/281865,如需转载请自行联系原作者
