今天被人问 到这样一个问题:有没有办法让普通的域用户有共享本地计算机上的文件夹和打印机?
         加入域之后,如果你再使用管理员用户登录到域成员计算机上,查看本地账户,你会看到domain users是隶属于users组里面的,而users组是没有共享文件夹和打印机的权限的。下面是USERS组的一个简单介绍
          USERS组:该组的成员可以执行一些常见任务,例如运行应用程序、使用本地和网络打印机以及锁定服务器。用户不能共享目录或创建本地打印机。默认情况下,Domain Users、Authenticated Users 以及 Interactive 组是该组的成员。因此,在域中创建的任何用户帐户都将成为该组的成员
          所以要想达到上面的目标,我个人认为最好的办法还是把普通域用户加入到本地power users组里面,这样也能不错的解决一些应用软件无法运行的情况。下面是Power users组相比users组多出来的一些权限
  • · 创建并修改用户账户
  • · 编辑Power Users组、Users组和Guests组成员
  • · 创建并管理共享(文件、打印)
  • · Power Users组成员有安装程序的权限
         其中1、2、4在客户端加入到域之后就无法生效了(个人认为。暂时还有发现成功的例子- -|)
        那么下面言归正传,如何实现把域用户加入到POWER USER组里面??
  1. 手动一台一台的加?那当然不是什么好办法。
  2. 制做脚本实现?有说过用制作登录脚本来实现,但是要第一次登录的用户是管理员才有权限运行这个命令(据说也有实现的办法,但比较复制);再有一种 说法就是制做开机脚本,这个本人也实验过,未发现有效果- -|
          那么我就分享一下我测试成功过的一个方法,同样也是使用windows 组策略,修改“受限制组”来实现。
          我实验的环境是这样的:一台2008R2的域控,一台XP SP3打好最新组策略包的域成员
1、首先在08R2域控上运行 GPMC.MSC打开组策略控制台,展开到默认组域策略,右键选择“编辑”
clip_p_w_picpath002
2、依次展开如下选项:计算机配置—windows 设置—受限制组。右键选择“受限制组”选择添加组
clip_p_w_picpath003
3、然后输入power users点击确定创键POWER USERS
clip_p_w_picpath005
4、确定完成之后,会弹出一个power users属性的标题框。在“这个组的成员”处点击“添加”
clip_p_w_picpath006
5、然后添加domain users组。格式:<域>\domain users。或者点击“浏览”直接输入domain users,系统会自动识别
clip_p_w_picpath007
6、然后两次确定完成配置。
7、用普通域用户登录到XP的计算机上,先更新一下组策略 gpupdate /force,再运行 net localgroup “power users” 查看power users组的成员。我们会看到成员中有domain users的存在。
clip_p_w_picpath008
但是由于是计算机策略,还是需要重启动一下计算机,才会出现效果。
重启之后,我们再在D盘随便新建一个共享文件夹,查看属性,你就会发现,共享的选项卡己经出现,可以进行共享操作了。
clip_p_w_picpath009
         但是之后我又做了一个测试,把一台windows7计算机加入到域,同样应用了这调策略,把domain users 加入到POWER USERS组里面,但是即无法实现共享,总会提示:共享失败!
         后到查了一下发现,原来在vista之后,power users组就不再像2000/2003/xp里的那样有那么多权限。
------------------------------引用------------------------------------------
Power Users 群組不再建議使用
記得並能夠理解 Power Users 群組的用途嗎?雖然這個群組在 Windows 2000/XP/2003 中被給予了一些特殊 User Right,讓群組的成員可以進行一些 "基本的管理工作",譬如分享目錄、管理印表機等等;不過呢,不能安裝應用程式,不能安裝驅動程式,不能做的事情還真不少呢!
經過重新檢討,Windows Vista 還是因為系統升級的需求保留了 Power Users 這個使用者群組,不過已經不再給予特殊使用者權力。所以當然不建議再使用這個群組做特殊的安全管理
------------------------------结束------------------------------------------
这就是为什么同样的策略,在xp时是可以实现,在windows7里就无法实现的原因了!
看来windows7还有N多个细节需要我们关注!!!!