使用组策略添加删除本地用户和组的成员
介绍
如果您的公司像大多数公司一样,则您的用户在其桌面上以本地管理员身份运行。有解决方案可以消除这种需求,这是每个公司都应制定的方向。当用户以本地管理员身份运行时,IT员工无法控制该用户或其桌面。为了保护每个桌面上的本地Administrators组的安全,您需要一些强大的工具来完成工作。通常,需要执行三项不同的任务来保护该组的安全,我们将在本文中介绍这些任务。Windows Server 2008和Windows Vista SP1(安装了RSAT)提供了惊人的新控件,使这些配置变得轻而易举!
任务1-删除域用户帐户
保护本地Administrators组的首要任务是确保用户不再具有该组的成员身份。说起来容易做起来难,因为大多数公司已将用户的域帐户配置为在安装用户计算机时具有该组的成员身份。
考虑以下情形:已解决了使用户以本地管理员身份运行的问题,现在需要从环境中每个桌面上的本地管理员组中删除域用户帐户。您只有10,000台台式机,笔记本电脑和远程用户,因此您前面的工作还很简单(是的,对!)。
如果创建脚本来执行此任务,则将依靠用户注销并重新运行脚本。即使在一半的台式机上也不太可能发生,因此您需要另一种选择。
作为一个完美的解决方案,您可以使用“本地组-组策略首选项”在实施该任务后约90分钟内完成该任务。要完成工作,您只需要编辑组策略对象(GPO)并配置以下策略:计算机配置(或用户配置,截图是用户配置)\首选项\控制面板设置\本地用户和组\新建\本地组,这将打开“新建本地” “组属性”对话框,如图1所示。
图1:本地组GPP,它使您可以控制本地管理员组的成员身份
打开此属性表后,只需选择“删除当前用户”单选按钮。这将影响包含该设置的GPO管理范围内的所有用户帐户。此设置将在90分钟以内的下一次组策略后台刷新期间应用。
任务2-添加域管理员和本地管理员
保护本地Administrators组的下一阶段是确保将Domain Admins全局组和本地Administrator帐户都添加到每个桌面的本地Administrators组中。
许多人从一开始就使用Windows Active Directory组策略中的“受限制的组”策略进行了尝试。该解决方案的问题在于,受限制的组策略是“删除并替换”策略,而不是“追加”策略。因此,当您配置策略以执行此任务时,将清除本地Administrators组的内容,仅用这两个帐户替换它。
通过使用任务1中描述的“本地用户和组”策略,您不仅可以删除当前登录的用户,还可以添加两个关键帐户,以确保您在每个桌面上都具有正确的管理权限,如下所示:如图2所示。
图2:添加本地管理员组的成员很容易
任务3-删除特定帐户
保护本地Administrators组的最后阶段是确保只有正确的帐户才具有成员身份。在许多情况下,已经将域中的组添加到本地Administrators组中,以执行特定任务,完成项目或执行维护。如果本地管理员组中不再需要这些组,则可以使用新的本地用户和组策略将其删除。
以与在任务2中添加两个帐户类似的方式,可以将帐户添加到需要删除的策略中。为此,请确保在将帐户添加到策略中时选择“从该组中删除”选项,如图3所示。
图3:可以从本地管理员组中删除特定的用户或组
现在,您可以完全控制本地Administrators组的成员身份,甚至只删除不应包含的用户和组帐户。
获取工具和规则
我已经一再提及Windows Server 2008和Vista附带的组策略首选项的使用。为了使您能够利用这些设置,您只需在网络上使用以下一项:
- Windows Server 2008服务器
- Windows Vista SP1,安装了远程服务器管理工具集
这两个操作系统都带有新的和改进的组策略管理控制台和组策略管理编辑器。
新的“组策略首选项”中包含的设置可以应用于以下操作系统:
- Windows XP SP2及更高版本
- Windows Server 2003 SP1和更高版本
- Windows Vista SP1和更高版本
- Windows Server 2008及更高版本
抱歉,任何Windows 2000都不适用!
有关组策略首选项和RSAT的更多信息,请查看以下链接:
- Windows组策略资源工具包:Windows Server 2008和Windows Vista
- 组策略首选项常见问题(FAQ)
- Windows Vista的Microsoft远程服务器管理工具(KB941314)
摘要
对于用户具有本地管理特权的桌面,IT不能完全控制,这是100%正确的。所有公司都需要重新控制桌面,并保护本地Administrators组。由于Windows Server 2008和Vista随附的组策略首选项,现在可以执行这些步骤。只需单击几下,您就可以100%控制桌面和本地Administrators组。该设置将在大约90分钟内应用于加入该域并在网络上的所有计算机。用户无需注销并重新启动...仅适用策略设置!