如果善用此策略可以增加系統的安全性,本地Administrators組中僅存帳戶應該是本地Administrator以及來自其所在域的Domain Admins組。但是不時會有一些管理員“監時”因為將某個用戶的帳戶提升到Administrators組中,並懷著“當事情一結束”再把它從Administrators組裏刪掉,但因為工作太忙經常忘了造成了系統的不安全,還有一些別有用心的駭客提升系統許可權把自己加入到Administrators組。善用此策略可以保證只有Administrator和Domain Admin組位於本地的Administrators組中,其他成員都會被踢出去。此策略可以精確的控制用戶端的本地組成員。
下面我們看看具體的部署方法:
1、先建立一個需要的OU,將需要權限開放的電腦都放進去,然後在
DC上建一個GPO(Add_DomainUesrs_To_administrators)如圖:
2、編輯這條組策略,找到“電腦配置”——“Windows設置“——”安全設
置“——“受限制的組”,按鼠標右鍵,選擇“添加組”
3、打開後輸入“administrators”
4、點擊“確定”,然後出現如下對話框
5、添加這個組的成員---點擊遊覽---
6、在網域內查找所需添加對象(這裡的對象可以是Domain Users、用戶帳戶、群組都可以,我們這裡用Domain Users為列)
7、這樣就將Domain Users添加到administrators裏了
8、接下來刷新組策略Gpupdate /Force
9、到客戶端電腦刷新組策略,或者重新啟動計算機,再驗證策略是否應用完成。看如下客戶端已經成功……
舉一反三,我們還可以用同樣的方法把用戶端的本地組加入其他的域成員或域組。
因篇幅问题不能全部显示,请点此查看更多更全内容