需求:
办公的客户端PC只允许使用普通域账号登录,没有安装软件、重置网卡等高级权限。
需求分析:
每台PC客户端已经加入域中,IT管理员不需要每天去检查每个人的PC上是否多了哪些用户,直接可以通过组策略进行动态管理。一般是administrators组中用户才具有高级权限,所以,通过控制这个组的成员,就可以控制用户的权限不会扩展。通过对AD组策略的设计,在检查到客户端本地administrators组中有多余成员时,直接将其删除,实现其需求。
实验环境:
虚拟机软件:VMware player 15.0
AD服务器:Windows Server 2016 R2
PC客户端:Windows 10
实验步骤:
一,新建winsvr2016,win10两台虚机,过程略。
二,在winsvr2016上搭建AD域服务,过程略。
三,将win10 加入AD域,效果如下:
服务器端:
PC端:
四,创建两个用户:xiaofeng,duanyu
五,测试普通用户xiaofeng与administrators组用户duanyu安装软件的权限区别:
xiaofeng:
上图可见,安装7-zip受限,需要有管理员账号密码。
duanyu:
duanyu安装成功。
六,在AD Server上使用组策略,限制任何用户被加入客户端PC的administrators组;
6.1,编辑组策略:
在AD Server上,从管理工具里打开组策略管理,在我们专用的OU下,右键新建一个组策略,并在新建的组策略上右键点击编辑,打开编辑器:
在如下本地用户和组菜单上,右键新建本地组:
操作选择“更新”,勾选删除所有成员用户复选框;
则客户端PC更新组策略后,将会删除此组中的所有成员:
6.2,客户端更新组策略,测试效果:
采用注销再登录方式更新组策略,这最符合实际场景。
观察到,WIN10 的local administrator组中已经没有duanyu这个用户了。
再安装软件,就需要输入管理员密码了:
实验完成了。
参考学习博客:https://blog.csdn.net/allway2/article/details/103987798