開啟ADUC工具(Active Directory使用者和電腦),於Users下新增一個[群組],LafromADgroup,如下圖。此目的為規畫未來屬於該群組的成員帳號,均可在端末電腦上具備本機管理員權限。
在剛建立的LafromADgroup [群組],右鍵[內容],將特定帳號加入
將現有的帳號加入此群組之步驟簡單,故略過,完成如下圖
開啟[群組原則管理],新增GPO,名稱為Add_LocalAdmin,並編輯。
電腦/原則/windows設定/安全性設定/受限群組。 新增群組( 如下圖)
新增Administrators。
點選[新增]
將剛才建立的群組加入,(也一併將Domain Admins加入,不然Client的電腦此群組會消失在Administrators群組中)
完成圖如下
Client端電腦套用設定前,尚未出現Sayms\LafromADgroup 群組
套用後本機的Administrators群組已經出現Sayms\LafromADgroup群組,但端末必須重新開機,管理員權限功能才會生效。
已經可以修改時間(管理員權限)。
說明:
1. 如果套用到Default Domain Policy內而非利用GPO套用特定OU,則也會在DC本機的管理員群組內Bulitin\administrators,加入此群組,故不建議這麼做,以免與AD管理員有同樣的管理員權限。
2. 本例如果只是要讓單一帳號加入Client的Administrators群組,只需加入單一帳號即可,不須加入自建的新群組LafromADgroup。但這樣規劃會比較有彈性。
3. 此種作法利於未來統一控管Client端Admin的權限,尚有其他好處如下:
(1)、 特定帳號或群組,不需要AD管理員權限,即可各Client端擁有管理員權限,亦適用MDT大量部署派送。
(2)、 未來先前在本機手動加入Administrators群組的網域帳號應刪除(GPO的[受限群組]會自動將其他帳號刪除….),AD管理員只要該帳號移到新群組LafromADgroup下,即可擁有先前同樣的管理員權限。
(3)、 不用利用派送其他GPO再去蒐集各Client端Admin的權限,在AD上就可知道。
(4)、 為利本機最高安全,可將本機的Administrator帳號停用。改僅用網域派的LafromADgroup群組來擁有管理員權限。
4. 使用本法[限制群組]設定,可能導致先前Client上手動加入的帳號,失去管理員權限。故使用前必須先將這些帳號加入[限制群組]的[LafromADgroup]。
大量新增帳戶於特定群組的Powershell指令如下:
AD_AdduserToGroup.ps1
import-module activedirectory
$list = import-csv ".\Group-User.csv"
Foreach($user in $list){
add-adgroupmember -identity $user.Group -member (Get-ADUser $user.Accountname)
}
Group-User.csv 檔案內容
Group,Accountname
lafromADgroup,george
lafromADgroup,John
lafromADgroup,David
參考來源:
1.http://gallery.technet.microsoft.com/scriptcenter/site/search?f[0].Type=RootCategory&f[0].Value=activedirectory&f[0].Text=Active%20Directory&f[1].Type=SubCategory&f[1].Value=useraccounts&f[1].Text=User%20Accounts
2.Http://stackoverflow.com/questions/16651580/add-multiple-users-to-multiple-groups-from-one-import-csv
