本文將介紹如何利用群組原則將網域使用者加入到本機 Administrators 群組。
【情境描述】
最近有一個需求是要讓某一網域使用者(MyDomain\User1)具備某一個 OU 下所有成員電腦中的系統管理員權限,雖然當電腦加入網域之後,預設 Domain Admins 群組會自動是成員電腦的 Administrators 群組的一員,若直接將 MyDomain\User1 加入 Domain Admins 群組雖然是最快的方式,但如此一來 MyDomain\User1 就具備管理網域的權限,似乎給的權限過大,因此筆者使用的是在群組原則中利用【受限群組】來將網域使用者加入到本機 Administrators 群組,請見下一節。
【實作步驟】
首先開啟群組原則管理,新增或開啟現有群組原則物件,在【電腦設定>原則>Windows 設定>安全性設定>受限群組】節點上按滑鼠右鍵選擇【新增群組】。
在【新增群組】視窗中輸入【Administrators】然後按確定。
接著點選新增來選擇您要加入 Administrators 群組的成員,這裡可以是使用者或是群組。
本文以新增網域使用者到 Administrators 群組為示範,因此在此輸入 MyDomain\User1。
群組成員建立完成之後,您將會看到類似下圖的結果。
待使用者重新啟動電腦或手動執行 gpupdate /force 指令後,MyDomain\User1 就會被加入到成員電腦中的 Administrators 群組。
【特別提醒】
使用此一方式來修改成員電腦的 Administrators 群組的成員,會以群組原則中的設定覆蓋原本 Administrators 群組的內容,使用前請先仔細評估並在測試環境中測試。
【參考資料】