如何在windows server2003域控下把域账户加入本地管理员组

如何在windows server2003域控下把域账户加入本地管理员

目的:把helpdesk组加入到本地管理员组

环境:Windows Server 2003域控       Win7/Windows XP 客户端


实施方式:应用组策略中的“受限制的组”策略设置

1、在图中可以看到:域名为wl.com,helpdesk组下有两个账户helpdesk、helpdesk1
windows2003管理组创建_windows2003 管理组_02

2、因为“受限制组”是应用于计算机上,而不用户上,所以OU里应该是计算机对象。因此新建一个OUclinet”(自己命名),该OU里存放计算机对象(用户的机器:需要把helpdesk组加入到本地管理员组的客户端)。

windows2003管理组创建_windows2003 管理组_03

3、把computersOU里的用户机器拖进“client”里

windows2003管理组创建_windows2003 管理组_04

windows2003管理组创建_windows2003 管理组_05

4、右键“client”,属性---组策略---打开,然后进入组策略管理器

windows2003管理组创建_windows2003 管理组_06

windows2003管理组创建_windows2003 管理组_07

5、在“client”下,创建策略“add helpdesk in local admin

windows2003管理组创建_windows2003 管理组_08

6、编辑“add helpdesk in local admin

windows2003管理组创建_windows2003 管理组_09

7、进入组策略编辑器,计算机配置---windows设置---安全设置---受限制的组

windows2003管理组创建_windows2003 管理组_10

8、添加组

windows2003管理组创建_windows2003 管理组_11

9、浏览---高级---立刻查找---administrators---确定,成功建立administrators

windows2003管理组创建_windows2003 管理组_12

10、编辑“administrators”组的配置

在“组成员”添加administratordomain adminhelpdesk组的两个账户,意思是以上三个组的用户的权限归属于administrators组。操作:添加---浏览---高级---立即查找,选择要添加的组和账户。

  注意:在“组隶属于”中留空。

windows2003管理组创建_windows2003 管理组_13

11、此“受限制的组”策略设置完成,服务器端和客户端运行gpupdate /force命令刷新组策略。客户端注销登录后,helpdesk的账户就被加入到了本地administrators组了。