Windows Server 2012 AD DS環境下域用戶自動加入本地管理員組

    遇到的小夥伴多了，就會發現小夥伴需求真是各類各樣，就像客戶端加入域同樣，有的客戶就要求，加入域以後，此員工的域帳號自動加入本地管理員組；也有客戶要求，加入域後，此員工的域帳號只能是受限制的普通USER，不能有任何多餘的權限，包含修改網絡配置等。好吧，用戶的需求都是有道理的。下面，我們就來看一下，如何實現加入域以後，自動加入到本地管理員組。

    咱們的Server01是一臺域控制器，而後再找一臺Win8.1作客戶機，至於說如何升級域控制器，在此就再也不描述了，網上的資料一大把。至於把域用戶加入本地管理員組，使用的就是：用戶配置首選項中「本地用戶和組」。用於將登陸賬號自動加入本地管理員組的場合。或者是使用計算機配置首選項中「本地用戶和組」，用在將重要的域組加入客戶端本地管理員組。

咱們看一下具體設置：

使得用戶配置首選項「本地用戶和組」將登陸帳號自動加入本地管理員組

    登陸到域控制器，打開基於域的策略-----用戶配置---首選項---控制面板設置---本地用戶和組，如下圖所示：

在右側空白處，新建本地組，以下圖所示：

由於是要修改客戶端計算機上的本地組信息，因此選擇新建本地組。

    操做中的「更新」表明更新域客戶端Administrators組中的成員，而不是新建組；「添加當前用戶」表示添加登陸時的域賬號到客戶端系統的本地Administrators組，只要域賬號一登陸，就把它加入本地管理員組，也能夠同時選中右邊的「刪除全部成員用戶」或者是刪除全部成員組，意思是將當前登陸的用戶加入到本地管理員組的時候，刪除其餘成員用戶或者是組，以起到動態加入管理員組的效果，也就是始終保持最近登陸的用戶是在管理員組中，其餘用戶刪除，可是須要注意，。在此咱們不選擇，先看一下效果。

    咱們到Win8.1上進行登陸，查看當前用戶有沒有加入到管理員組，注意，由於我這裏是客戶的一個真實POC環境裏，我就把一些敏感信息馬賽克了。

    登陸成功以後，咱們去打開此客戶機的本地用戶和組，雙擊打開 administrators組，能夠看到下面的界面，明白人不用細說：

    實驗成功了！此時，此登陸的用記及是管理員了，權限大大的，什麼修改網絡配置、安裝軟件、卸載軟件、修改系統配置，通通都是張飛吃豆芽！若是想只保留當前用戶，而刪除其餘用戶，則以下圖所示的操做：

    固然，沒必要像我圖中作的這麼慘忍，domain admins仍是能夠保留的。而後，客戶端從新登陸，再次打開adminstrators查看，以下圖所示：

    可是注意，此場景只適合於Win7及之後的操做系統，像XP/2003等須要安裝插件，以使用「首選項」功能生效，下載地址：https://technet.microsoft.com/zh-cn/library/cc731892(WS.10).aspx

估計你們是用不到了，畢竟都已是兩個退役的產品了。另一點，就是若是是但願將某個組都加入到本地管理員組，則建議使用計算機配置下的「本地用戶和組」功能。