windows server域用戶提高到本地更高權限組中的方法

域用戶登陸後是默認加入本地users組的，但USERs組中的用戶權限過小了，如不能設置共享，安裝本地打印機，等，因此一個網管域中電可行的方案就是將usrs組用戶提高爲Power Users 或Domain Admin組。安全風險是增長了，可是通常的場合問題不是很大。
 
1、將域用戶加入本地power user組
 
腳本：
 
Option Explicit
 
Dim oWshNetwork
 
Set oWshNetwork = WScript.CreateObject("WScript.Network")
 
Dim sLogonComputerName
 
'獲得當前登陸計算機名
 
sLogonComputerName = oWshNetwork.ComputerName
 
'WScript.Echo sLogonComputerName
 
Dim oLocalGroup  www.2cto.com 
 
'獲得本地 Power Users Group 對象
 
Set oLocalGroup = GetObject("WinNT://" + sLogonComputerName + "/Power Users,Group")
 
'WScript.Echo oLocalGroup.Name
 
'注意下一句中的 HENU-SOFTLAB 它必須與域的NETBIOS名大小寫相一致，不然會出錯
 
If oLocalGroup.IsMember("WinNT://HENU-SOFTLAB/Domain Users") Then
 
WScript.Quit
 
Else
 
oLocalGroup.Add "WinNT://HENU-SOFTLAB/Domain Users"
 
End If
 

2、將域用戶加入到客戶機本地管理員組
 
用net命令：（用本地管理員登陸後）
 
整條命令：runas /user: administrator "net localgroup administrators domain.com\mmuser /add"
 
命令說明：這個命令是把ＭＭ域中的帳號加入到本地管理員組中。
 
其中administrator 是你在本機的管理員帳號，domain.com是你我域名稱，mmuser是須要提高權限的用戶
 
運行完命令會提示輸入本機administrator的密碼，接着命令就會成功完成。
 
以後可使用 runas /user: administrator "net localgroup administrators domain.com\mmuser /del"來刪除掉MM的本地管理員權限
 

3、把power users組的用戶提高爲administrators組
 
我之前編寫的一個腳本admin.vbs，用來遠程把power users組的用戶提高爲administrators組，適當修改如下再加點批處理程序，就能夠應該能夠實現樓主的功能。如下內容，供參考：
 
 
 
if wscript.arguments.count <> 3 then
 
wscript.echo "Usage: cscript " & wscript.scriptname & " computername groupname username" & vbCrLf & vbCrLf
 
wscript.quit
 
end if
 
Set unNamedArguments = WScript.Arguments.UnNamed
 
Set objGroupAdm = GetObject("WinNT://" & unNamedArguments.Item(0) & "/Administrators,group")   www.2cto.com 
 
Set objGroupPower = GetObject("WinNT://" & unNamedArguments.Item(0) & "/" & unNamedArguments.Item(1) & ",group")
 
For Each objUser in objGroupPower.Members
 
If objUser.Name = unNamedArguments.Item(2) Then
 
objGroupPower.Remove(objUser.ADsPath)
 
objGroupAdm.Add(objUser.ADsPath)
 
WScript.Echo("The user "& unNamedArguments.Item(0)&":"&objUser.Name & " is changed to Administrators Group")
 
End if
 
Next 'end for
 

4、在組策略內先實現把用戶由USERS權限升級爲Power User權限
 
在組策略內先實現把用戶由USERS權限升級爲Power User權限
 
 
 
*打開「default domain poliy「（域控）--->計算機配置->windows設置->安全設置->受限制的組
 
*右擊->添加組-->"Power Users"->雙擊該組->這個組的成員->添加-域名\domain users
 
*若是是windows2000的系統--運行中--輸入Secedit /refresh policy_machine /enforce 實現組策略生效
 
*若是是windows2003的系統輸入gpupdate /force
 
OK,你的客戶端只要重啓就能夠實現把由USERS權限升級爲Power Users權限
 

5、將域用戶或域組加入本地組的腳本
 
一個AD域環境，許多用戶將Domain Admins組從本地Administrators組中刪除了，致使域管理員進行管理時諸多麻煩。但願用一個腳本在計算機開機時可以自動將Domain Admins組加入本地Administrators組中。  www.2cto.com 
 
這個腳本稍做修改能夠將任意的域用戶或組加入到本地組中。腳本以下：
 
'────────────────────────────
 
'腳本功能：
 
'將域管理員組加入計算機的本地管理員組
 
'主要用於修復域管理員組被手動從本地管理員組中刪除的問題
 
'該腳本須要在已經加入域環境的計算機上運行
 
'本腳本稍做修改能夠將任何用戶或組加入到任何組中
 
'
 
'────────────────────────────
 
 
 
Set WshNetwork = WScript.CreateObject("WScript.Network")
 
'得到當前計算機的名稱
 
strComputer = WshNetwork.ComputerName
 
'得到當前域的NetBIOS名稱
 
strDomain = WshNetwork.UserDomain
 
'設置當前計算機的本地administrators組和域Domain Admins組
 
'若是須要將其餘用戶加入其餘本地組，能夠更改組名或用戶名
 
Set objGroup = GetObject("WinNT://" & strComputer & "/Administrators")
 
Set objUser = GetObject("WinNT://" & strDomain & "/Domain Admins")
 
'判斷本地administrators組成員，若是Domain Admins已是成員，便退出執行
 
For Each objListUser in objGroup.Members
 
If objListUser.name ="Domain Admins" Then
 
Wscript.Quit  www.2cto.com 
 
End If
 
Next
 
'不然就將Domain Admins加入本地管理員組
 
objGroup.Add(objUser.ADsPath)
 
經實際測試第五個，在沒有加入域的機器上運行會提示找不到域，在入域的機上運行又分兩種：一種是用有入域權限用戶運行會提示沒有本機管理員權限，另外一種是用本機管理員權限又提示沒有域管理員權限，查詢不到域信息，因此最後只能用第二種方法：
 
x.com.corp
 
在本機管理員下用
 
net localgroup administrators x\grp-it-sys /add
 
在有入域權限用戶下用
 
runas /user:administrator "net localgroup administrators x\grp-it-sys /add"
本篇文章來源於 黑基網-中國最大的網絡安全站點 原文連接：http://www.hackbase.com/tech/2012-04-09/66154.html