在我们的AD 2003域中,每个用户在他们的计算机上获得本地pipe理权限。 其他人都可以以普通用户的身份login自己的域帐户。
现在这意味着去桌面和手动添加用户作为本地pipe理员。
有没有办法通过login脚本或GPO自动执行此过程? 我已经find了使用gpo的方法,使所有login到本地pipe理员的计算机上的人,但实际上只是想给它的计算机的主要用户(或在某些情况下,用户)。
我也看到了需要为每台计算机添加一个组的方法,但实际上并不想这样混乱AD。
我有一个列表将每个用户映射到每个计算机名称。 如果重要,桌面是xp和win7的混合体。
没有一个本地组策略工具,我知道要做到这一点,但一个简单的解决scheme是使用Powershell脚本这种修改。
对于给定的计算机,将所有用户从pipe理员组中删除,将所需用户添加到组中,然后冲洗并重复。 这可以计划在服务器上运行,并定期重新应用,作为组策略给出相同的结果。
我曾经做过类似的事情 我强烈build议你找出为什么你的用户需要pipe理员权限。 托pipeIT基础架构的租户之一是剥夺用户不需要做的工作的权利。
我希望不会。 这不是一件非常安全的事情。 我鼓励用户为需要提升权限的活动使用单独的帐户。 我们使用本地帐户,但也可能是已添加到本地pipe理员组的域帐户。
您也可以使用GPP(GPO的偏好部分)将用户添加到本地pipe理员组。
您可以在顶级lvl创build一个GPO,并使用GPP定位将用户添加到特定计算机的pipe理员组。
如果计算机名称为XX,则将此用户添加到内置组。
对于200个用户,您将在该GPO中有200行。
需要一些时间来设置,但你可以远程执行。 如果用户需要撤销其权限,则可以更改要删除的行中的GPP更新选项。
如果你愿意,我可以添加一些截图。