2024年3月25日发(作者:)

用AD组策略------控制客户端本地组

从安全的角度来说是不建议大家把域用户加入到本地Power Users,写这篇文章的目

的是告诉大家,可以通过组策略把域用户和域组自动加入到客户端的本地组,实现对客户

端本地组的控制。

如果善用此策略可以增加系统的安全性,本地Administrators组中仅存账户应该是本

地Administrator以及来自其所在域的Domain Admins组。但是不时会有一些管理员“监

时”因为将某个用户的帐户提升到Administrators组中,并怀着“当事情一结束”再把它

从Administrators组里删掉,但因为工作太忙经常忘了造成了系统的不安全,还有一些别

有用心的黑客提升系统权限把自己加入到Administrators组。善用此策略可以保证只有

Administrator和Domain Admin组位于本地的Administrators组中,其它成员都会被

踢出去。此策略可以精确的控制客户端的本地组成员。

1、我建了一个Workstations的OU把所有的客户端计算机都放入到了这个OU里面。

在DC上新建一条组策略针对Workstations这个OU的;

2、编辑这条组策略,找到“计算机配置”——“Windows设置“——”安全设置“—

—“受限制的组”,按鼠标右键,选择”添加组“;

3、输入Power Users,点击”确定“

4、弹出如下图对话框,点击”浏览“

5、输入Domain Users,点击”检查名称“按”确定“

6、这样就把Domain Users组添加到Power Users组里了,点击“确定”

7、接下来是刷新组策略,gpupdate /force

8、到客户端刷新组策略,或重新启动计算机,再验证策略是否成功,看下图客户端已

经成功

举一反三,我们还可以用同样的方法把客户端的本地组加入其它的域成员或域组。