將Domain Users加入本地Power Users組

 從安全的角度來講是不建議你們把域用戶加入到本地Power Users，寫這篇文章的目的是告訴你們，能夠經過組策略把域用戶和域組自動加入到客戶端的本地組，實現對客戶端本地組的控制。

若是善用此策略能夠增長系統的安全性，本地Administrators組中僅存帳戶應該是本地Administrator以及來自其所在域的Domain Admins組。可是不時會有一些管理員「監時」由於將某個用戶的賬戶提高到Administrators組中，並懷着「當事情一結束」再把它從Administrators組裏刪掉，但由於工做太忙常常忘了形成了系統的不安全,還有一些別有用心的***提高系統權限把本身加入到Administrators組。善用此策略能夠保證只有Administrator和Domain Admin組位於本地的Administrators組中，其它成員都會被踢出去。此策略能夠精確的控制客戶端的本地組成員。

有誤的地方請各位及時通知我，若是這篇文章對你們有幫助就大聲的吼二下，呵呵。:lol :lol 

一、我建了一個Workstations的OU把全部的客戶端計算機都放入到了這個OU裏面。在DC上新建一條組策略針對Workstations這個OU的；


二、編輯這條組策略，找到「計算機配置」——「Windows設置「——」安全設置「——「受限制的組」，按鼠標右鍵，選擇」添加組「；



三、輸入Power Users，點擊」肯定「


四、彈出以下圖對話框，點擊」瀏覽「


五、輸入Domain Users，點擊」檢查名稱「按」肯定「


六、這樣就把Domain Users組添加到Power Users組裏了，點擊「肯定」



七、接下來是刷新組策略，gpupdate /force


八、到客戶端刷新組策略，或從新啓動計算機，再驗證策略是否成功,看下圖客戶端已經成功


觸類旁通，咱們還能夠用一樣的方法把客戶端的本地組加入其它的域成員或域組。

 

還有用啓動腳原本完成這個工做：

方法一，將如下內容存爲bat文件，並部署爲計算機啓動腳本
net localgroup  "power users" "domain users" /add

方法二，將如下內容存爲vbs文件，並部署爲計算機啓動腳本

Option Explicit
Dim oWshNetwork
Set oWshNetwork = WScript.CreateObject("WScript.Network")
Dim sLogonComputerName
sLogonComputerName = oWshNetwork.ComputerName
'WScript.Echo sLogonComputerName

Dim oLocalGroup
Set oLocalGroup = GetObject("WinNT://" + sLogonComputerName + "/power users,Group")
'WScript.Echo oLocalGroup.Name

If oLocalGroup.IsMember("WinNT://ZTGAME/Domain Users") Then
WScript.Quit
Else
oLocalGroup.Add "WinNT://ZTGAME/Domain Users"
End If