|
域用戶登錄后是默認加入本地users組的�����,但USERs組中的用戶權限太小了���,如不能設置共享,安裝本地打印機����,等,所以一個網管域中電可行的方案就是將usrs組用戶提升為Power Users 或Domain Admin組�。安全風險是增加了,但是一般的場合問題不是很大�。
一、將域用戶加入本地power user組
腳本:
Option Explicit
Dim oWshNetwork
Set oWshNetwork = WScript.CreateObject("WScript.Network")
Dim sLogonComputerName
'得到當前登錄計算機名
sLogonComputerName = oWshNetwork.ComputerName
'WScript.Echo sLogonComputerName
Dim oLocalGroup '得到本地 Power Users Group 對象
Set oLocalGroup = GetObject("WinNT://" + sLogonComputerName + "/Power Users,Group")
'WScript.Echo oLocalGroup.Name
'注意下一句中的 HENU-SOFTLAB 它必須與域的NETBIOS名大小寫相一致����,否則會出錯
If oLocalGroup.IsMember("WinNT://HENU-SOFTLAB/Domain Users") Then
WScript.Quit
Else
oLocalGroup.Add "WinNT://HENU-SOFTLAB/Domain Users"
End If
二、將域用戶加入到客戶機本地管理員組
用net命令:(用本地管理員登錄后)
整條命令:runas /user: administrator "net localgroup administrators domain.com\mmuser /add"
命令說明:這個命令是把MM域中的賬號加入到本地管理員組中�����。
其中administrator 是你在本機的管理員賬號�����,domain.com是你我域名稱�����,mmuser是需要提升權限的用戶
運行完命令會提示輸入本機administrator的密碼����,接著命令就會成功完成。
之后可以使用 runas /user: administrator "net localgroup administrators domain.com\mmuser /del"來刪除掉MM的本地管理員權限
三�、把power users組的用戶提升為administrators組
我以前編寫的一個腳本admin.vbs,用來遠程把power users組的用戶提升為administrators組����,適當修改以下再加點批處理程序,就可以應該可以實現樓主的功能�。以下內容����,供參考:
if wscript.arguments.count <> 3 then
wscript.echo "Usage: cscript " & wscript.scriptname & " computername groupname username" & vbCrLf & vbCrLf
wscript.quit
end if
Set unNamedArguments = WScript.Arguments.UnNamed
Set objGroupAdm = GetObject("WinNT://" & unNamedArguments.Item(0) & "/Administrators,group")
Set objGroupPower = GetObject("WinNT://" & unNamedArguments.Item(0) & "/" & unNamedArguments.Item(1) & ",group")
For Each objUser in objGroupPower.Members
If objUser.Name = unNamedArguments.Item(2) Then
objGroupPower.Remove(objUser.ADsPath)
objGroupAdm.Add(objUser.ADsPath)
WScript.Echo("The user "& unNamedArguments.Item(0)&":"&objUser.Name & " is changed to Administrators Group")
End if
Next 'end for
四�、在組策略內先實現把用戶由USERS權限升級為Power User權限
在組策略內先實現把用戶由USERS權限升級為Power User權限
*打開“default domain poliy“(域控)--->計算機配置->windows設置->安全設置->受限制的組
*右擊->添加組-->"Power Users"->雙擊該組->這個組的成員->添加-域名\domain users
*如果是windows2000的系統(tǒng)--運行中--輸入Secedit /refresh policy_machine /enforce 實現組策略生效
*如果是windows2003的系統(tǒng)輸入gpupdate /force
OK,你的客戶端只要重啟就可以實現把由USERS權限升級為Power Users權限
五、將域用戶或域組加入本地組的腳本
一個AD域環(huán)境����,許多用戶將Domain Admins組從本地Administrators組中刪除了,導致域管理員進行管理時諸多麻煩�。希望用一個腳本在計算機開機時能夠自動將Domain Admins組加入本地Administrators組中。
這個腳本稍作修改可以將任意的域用戶或組加入到本地組中��。腳本如下:
'────────────────────────────
'腳本功能:
'將域管理員組加入計算機的本地管理員組
'主要用于修復域管理員組被手動從本地管理員組中刪除的問題
'該腳本需要在已經加入域環(huán)境的計算機上運行
'本腳本稍作修改可以將任何用戶或組加入到任何組中
'
'────────────────────────────
Set WshNetwork = WScript.CreateObject("WScript.Network")
'獲得當前計算機的名稱
strComputer = WshNetwork.ComputerName
'獲得當前域的NetBIOS名稱
strDomain = WshNetwork.UserDomain
'設置當前計算機的本地administrators組和域Domain Admins組
'如果需要將其他用戶加入其他本地組���,可以更改組名或用戶名
Set objGroup = GetObject("WinNT://" & strComputer & "/Administrators")
Set objUser = GetObject("WinNT://" & strDomain & "/Domain Admins")
'判斷本地administrators組成員�����,如果Domain Admins已經是成員�����,便退出執(zhí)行
For Each objListUser in objGroup.Members
If objListUser.name ="Domain Admins" Then
Wscript.Quit
End If
Next
'否則就將Domain Admins加入本地管理員組
objGroup.Add(objUser.ADsPath)
經實際測試第五個��,在沒有加入域的機器上運行會提示找不到域����,在入域的機上運行又分兩種:一種是用有入域權限用戶運行會提示沒有本機管理員權限�����,另一種是用本機管理員權限又提示沒有域管理員權限��,查詢不到域信息�����,所以最后只能用第二種方法:
x.com.corp
在本機管理員下用
net localgroup administrators x\grp-it-sys /add
在有入域權限用戶下用
runas /user:administrator "net localgroup administrators x\grp-it-sys /add"
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強��!虛擬主機域名注冊頂級提供商����!15年品質保障!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
