如何自动把域帐户加到本地管理员组|ad活动目录域组策略登录脚本_百度知道
如何自动把域帐户加到本地管理员组|ad活动目录域组策略登录脚本
提问者采纳
－－－洛洛根据我的研究，在Windows系统中暂时不提供工具直接实现这种功能。您可以先将需要加入到本地管理员组的域用户放入一个OU中，然后通过组策略执行脚本来完成。
下面我提供一些方法，供您参考：
1．使用域管理员登陆到DC。活动目录seo
2．打开记事本创建一个批处理文件，输入以下内容，并以*.bat保存：
net localgroup administrators domain\user /add
其中，USER为你当前需要提升权限的用户名。
3．点击“开始→运行”并输入“DSA.MSC”→打开Active Director用户和计算机→右键点击需要设置的OU→“属性”→组策略→“编辑”。
4．打开“计算机配置→windows设置→脚本→启动→添加*.bat文件。
5．在命令提示符下输入gpupdate /force，重启计算机。
Tom Zhang 张一平 在线技术支持工程师 微软全球技术支持中心各位，net user %username% administrators /add 这个脚本会无法执行的。
因为要想加入本地管理员组，就需要管理员权限，也就是说只能用计算机登录脚本在用户登录之前执行
但此时用户还没有登录，根本无从获取 %username%变量。
登录之后，倒是获取到 %username%变量了，但普通的users权限是不能添加管理员群组账户的。这个问题的解决方法，有二
要不，用runas，使用管理员账户在用户登录之后添加，但将管理员账户和密码写在脚本里非常不安全。
要不，就是只能做计算机启动脚本，将domain users这个组添加到本地管理员群组中去。但又会让
所有域用户都可以在域中任何一台电脑上，订矗斥匪俪睹筹色船姬执行管理员权限，这样做也不安全。
用户之所以有这样的需求，其实是为了避免用户操作或者客户端软件在域环境中遭遇的权限限制问题，
如果说用户这么做只是暂时的权益之计，尚可，否则就是与活动目录的宗旨背道而驰！最终的解决方法还是要解决用户在域中所遇到的问题，例如软件权限限制问题的解决方法可以参考
其他类似问题
为您推荐：
组策略的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁ad域批量添加用户工具,批量修改用户属性,域用户权限管理, ad域组策略,ad域用户修改密码 - 卓豪ADManager Plus
网络与数据中心管理
服务器与应用性能管理
IT服务管理
Windows AD域管理
IT运维平台
400-660-8680
Windows AD域管理
管理、审计、报表
应用性能管理(APM)
保证物理、虚拟、云环境的应用性能
简化终端设备管理
全面管控PC计算机、智能手机以及平板电脑，确保网络安全
IT服务管理(ITSM)
构建高效快捷的IT帮助台
网络及数据中心管理
全面监控、管理并优化IT基础设施
IT安全管理
从日志、密码、配置的角度保证安全
IT运维外包服务工具
多租户模式，为您的客户提供更好的服务
管理IT设施及服务
IT运维管理平台
统一监控、集中运维
权限指派/工作流
Exchange管理
通过批量创建和编辑用户帐户，指派管理权限等，简化Windows AD域的管理。
使用CSV文件批量导入用户、编辑用户属性、重置密码、批量迁移用户和用户对象。
通过导入CSV文件，批量创建用户，包含Exchange邮箱、终端服务等所有属性，指派到组。
批量重置密码、解锁用户、迁移用户、删除/启用/禁用用户、添加到组或从组中移除、修改用户属性等。
通过生成不活域/禁用的用户帐户列表，轻松删除、启用或迁移帐户，达到清理AD域的目的。
重置多个用户帐户的密码、配置密码策略、启用/禁用密码过期的用户。
通过手机App执行重置密码、启用、禁用、解锁以及删除用户帐户等操作。
批量创建计算机、启用、禁用和迁移计算机，修改计算机属性和所属组。
批量编辑终端服务主文件夹、路径、启动程序、会话时间和远程设置。
默认提供150多种报表，全面分析Windows AD域架构。
通过定制模板或导入CSV文件，批量创建和修改用户属性。
批量管理组，创建/迁移/删除/编辑组、成员、分发列表以及配置机构和Exchange属性。
通过模板或CSV文件导入，批量创建、编辑和删除联系人。
启用/禁用、管理GPO继承和链接，管理多个GPO。
管理Office 365用户和组，并生成全面的报表。
统一管理Google Apps和AD域用户帐户。
AD文件权限管理
管理NTFS以及共享文件夹和文件的访问权限。
通过简单编辑、取消和组织权限，批量管理用户访问NTFS的权限。
通过编辑和取消文件夹和服务器共享，控制用户的访问和操作。
默认提供150多种报表，全面分析Windows AD域架构。
全面的用户分析报表，包括不活跃的用户、被锁定的用户、最后登录的用户以及被禁用的用户等。
生成用户登录行为报表，包括登录时间、时长等属性。
包括密码状态、安全权限、密码过期、无效登录尝试和密码变更报表。
了解某组织单元、组或整个AD域里，用户最后一次登录时间，包括帐户状态、帐户创建时间等信息。
全面的计算机对象、域控制器、工作站、计算机帐户状态以及按照操作系统分类的报表。
所有类型的安全和分发组，包括其中的组成员报表以及分发列表及成员报表。
详细的组织单元报表，包括最近创建的组织单元、最近修改的组织单元、GPO链接的组织单元、GPO阻止继承的组织单元以及空的组织单元。
设置报表计划，自动生成并发送报表，报表可导出为CSV、PDF和HTML格式文件。
了解用户对AD域对象的控制和权限。
通过报表，展示创建、修改和删除的联系人，并发送邮件给启用的联系人。
提供SOX, HIPAA, PCI, GLBA以及USA PATRIOT等合规性报表。
提供Exchange有限和分发列表，包括收件人设置等报表。
包括最近创建、修改、创建、未使用的GPO以及OU、站点或域链接的GPO。
获取Windows NTFS和共享权限信息。
生成详细的NTFS文件共享和权限报表。
包括密码策略和帐户锁定策略。
包括打印机报表、收件人设置报表、终端服务报表等。
生成详细的文件夹权限和访问报表，包括文件夹和非继承文件夹的权限。
满足萨班斯-奥克斯利法案(SOX) 的审计需求。
自动生成报表并发送给指定邮箱。
将管理权限指派给帮助台技术员或HR，降低AD管理员的工作负荷。
设置工作流程，安全地将管理权限指派给其他用户。
设置不同的角色，配置不同的管理权限，确保AD域的安全。
为一个组织单元配置一个管理员，执行相关的管理操作。
按照一定的规则，设置管理权限，确保信息安全。
工作流是一系列灵活设置的规则，用于自动执行AD管理操作。
可作为AD工单处理系统，全面管理工单请求。
可作为合规性管理系统，符合SOX, HIPAA和USA PATRIOT法规要求。
通过设置工作流，自动化执行动作。
在一个平台全面管理Exchange服务器和AD。
批量创建邮箱，支持Exchange Server /版本和Office 365。
可通过模板轻松批量设置邮箱权限，支持Exchange Servers /。
批量禁用和删除邮箱。
全面分析分发列表，提供分发组、分发列表成员和非分发列表成员报表。
批量将邮箱迁移到指定的Exchange服务器。
应用多个Exchange策略，例如共享策略、角色指派策略、保留策略、UM策略和ActiveSync策略。
他们正在使用ADManager Plus简化Windows AD域管理
ManageEngine是卓豪旗下IT运维管理解决方案。从世界500强到中小企业，在全球200多个国家和地区，有超过12万家企业正在使用ManageEngine工具。
400-660-8680大势至公司网络管理软件、公司网管必备软件
用AD组策略禁用USB存储设备、域控制器组策略禁止USB接口使用、域AD组策略屏蔽USB接口使用
在公司局域网中，有时候处于网络安全的考虑，需要禁止电脑USB接口使用，尤其是需要完全禁用U盘、禁止移动硬盘等USB存储设备的使用，而通过AD组策略禁用USB接口使用、域控制器禁用USB端口、域AD组策略禁用U盘是一种比较有效的方法，具体有以下两种方法：
方法一：通过组策略禁用usbstor.inf和usbstor.pnf两个usb驱动程序来禁用usb接口使用
为了对USB更彻底的控制本次更新将对系统的usbstor.inf和usbstor.pnf的文件权限进行控制这两个文件位于windows\inf目录下（这两个文件是USB存储设备的驱动文件，本策略的原理是利用NTFS权限阻止普通用户加载驱动），
注意事项：
(1)使用前请确认你的系统盘使用的是NTFS权限，否则此策略将无效。
此策略只能对计算机，不针对用户 本文来自菜鸟技术网
1、打开组策略编辑器gpmc，选择计算机配置--安全设置--文件系统；&
2、在右边单击鼠标右键选择－－添加文件
3、选择系统目录下的C:\windows\inf\usbstor.inf文件,单击确定；
内容来自.cn
4、出现权限设置对话框，注意这一步很重要一定要删除所有的组；
5、出现如下对话框，继续单确定；
6、按照如上方法再把C:\windows\inf\usbstor.pnf添加进去，如下图
本文来自菜鸟技术网
7、找一台客户端计算机验证策略，强制刷新策略,重新启动计算机；
8、查看客户端计算机c:\windows\inf\usbstor.inf及usbstor.pnf的NTFS权限，发现里面所有安全组已被删除。策略应用成功，普通用户无法再使用USB存储设备。
方法二：通过组策略禁用usb.adm驱动、禁止加载USB驱动的方式来禁用USB接口使用
先下载附件里的usb.adm文件&
详细操作如下:&
1、在DC里的OU里新建一条GPO组策略&
2、添加至组策略----计算机配置----管理模板中&
３、注意在“查看”----“筛选”中去掉“只显示能完全管理的策略设置”前面的勾
4、右键管理模板--点添加删除模板--添加usb.adm的模板文件--点关闭窗口中出现custom
policy settings进入,就可以看到那个设备的,右键你想设置的设备如disable usb 出现属性对话框点已启用在disable usb ports
中选enabled确定后重启计算机,就会发现usb接口不能用了,要恢复就禁用或选disabled,其它设备也是同样的操作
&为了方便大家阅读重新更新了一下图片.&
正确的使用方法是在要设置的驱动器里选择”Ｄisabled”或”Enabled”
例1：禁用软驱;
“Disabled Floppy”-&选择disabled Floppy Drive为“Enabled”。
&例2：启用软驱
“Disabled Floppy”-&选择disabled Floppy Drive为“Disabled&
&组策略模板&
方法三：通过专门的电脑USB接口管理软件、电脑U口禁用软件来禁止USB端口使用
如果你觉得通过AD组策略的方式禁用USB端口使用较为复杂，则可以通过专门的电脑USB端口禁用软件来实现，例如有一款“大势至USB接口禁用软件”（下载地址：/monitorusb.html），只需要点点鼠标就可以完全禁用U盘、禁用移动硬盘和手机内存卡的使用，同时还不影响非USB存储设备（如USB鼠标键盘和加密狗的使用），同时还可以禁止打开注册表、禁止打开组策略、禁止修改组策略、禁止修改开机启动项、禁止通过U盘启动操作系统、禁止光驱启动操作系统等，从而全面保护操作系统的安全，如下图所示：
图：大势至USB接口禁用软件屏蔽USB接口使用、禁用USB端口使用
总之，禁用电脑USB接口使用、屏蔽U口使用的方法很多，通过组策略、注册表等都可以实现。但是，上述方法存在着被用户反向修改而重新启用USB端口的风险，而通过专门的电脑USB接口管理软件来禁止U盘、禁止usb端口使用是一项比较有效的方法。
大势至公司网络管理软件、公司网管必备软件
相关链接：
相关日志：0Current position :
Prestige:<span class="cl09" id="prestige_
Bonus&points:<span class="cl09" id="exp_88
Gold&coins:<span class="cl09" id="score_07
Title:Contributor
1#Font Size | Post On
+3&Prestige&
【AD策略】通过AD下发GPO策略禁止windows更新方法
有些局点连接上了公网，默认服务器、虚拟机都是开启了windows更新，一些更新没有经过兼容性测试，可能导致系统异常。对于这种局点，我们一般建议关闭windows更新，关闭方法如下：
1.&&&&&& 使用管理员登录AD，点击“开始”-&“运行”，输入“gpmc.msc”回车，打开组策略管理器；
2.&&&&&& 展开至域根节点，右键点击域名，选择“在这个域中创建GPO并在此处链接”，如下图，如果是要针对指定OU的虚拟机关闭更新，此处需点击指定OU即可。
3.&&&&&& 输入GPO名称，如“Disable Automatic Update”，点击确定，如下图：
4.&&&&&& 右键点击刚才创建的“Disable Automatic Update”策略，选择“编辑”，如下图：
5.&&&&&& 在组策略管理编辑器页面，展开至“计算机配置”-&“策略”-&“管理模板”-&“Windows组件”-&“Windows Update”，双击右侧“配置自动更新”，如下图所示
6.&&&&&& 选择“已禁用”，点击“确定”，如下图
7.&&&&&& 关闭组策略管理窗口，打开cmd窗口，执行“gpupdate /force”，强制更新策略。
Tag : ,,,,
Prestige:<span class="cl09" id="prestige_
Bonus&points:<span class="cl09" id="exp_70
Gold&coins:<span class="cl09" id="score_26
Title:Rookie
感谢楼主共享。
How to Buy
Quick Links}