利用群組原則將網域使用者加入到本機 Administrators 群組

本文將介紹如何利用群組原則將網域使用者加入到本機 Administrators 群組。

情境描述

最近有一個需求是要讓某一網域使用者(MyDomain\User1)具備某一個 OU 下所有成員電腦中的系統管理員權限,雖然當電腦加入網域之後,預設 Domain Admins 群組會自動是成員電腦的 Administrators 群組的一員,若直接將 MyDomain\User1 加入 Domain Admins 群組雖然是最快的方式,但如此一來 MyDomain\User1 就具備管理網域的權限,似乎給的權限過大,因此筆者使用的是在群組原則中利用【受限群組】來將網域使用者加入到本機 Administrators 群組,請見下一節。

實作步驟

首先開啟群組原則管理,新增或開啟現有群組原則物件,在【電腦設定>原則>Windows 設定>安全性設定>受限群組】節點上按滑鼠右鍵選擇【新增群組】。

image

在【新增群組】視窗中輸入【Administrators】然後按確定。

image

接著點選新增來選擇您要加入 Administrators 群組的成員,這裡可以是使用者或是群組。

image

本文以新增網域使用者到 Administrators 群組為示範,因此在此輸入 MyDomain\User1。

image

群組成員建立完成之後,您將會看到類似下圖的結果。

image

待使用者重新啟動電腦或手動執行 gpupdate /force 指令後,MyDomain\User1 就會被加入到成員電腦中的 Administrators 群組。

特別提醒

使用此一方式來修改成員電腦的 Administrators 群組的成員,會以群組原則中的設定覆蓋原本 Administrators 群組的內容,使用前請先仔細評估並在測試環境中測試。

參考資料

- 群組原則的描述受限制群組

- Using Restricted Groups

- AD群組原則-受限制群組設定使用

- 如何將 domain user 加入 local administrators 群組