我正在使用50个客户端的安全Windows 2003域。 我正在从事的第一项任务是从域pipe理员组中删除技术支持人员。 但是,我需要他们仍然可以:
我正在考虑在每个工作站的“本地pipe理员”组中添加一个名为“支持”的域本地组,您对这种方法有什么看法?
谢谢!
如果他们需要排除工作站故障,他们确实需要本地pipe理员权限。
你的方法是正确的:使用一个域组(但它必须是域全局的,如果你想嵌套在其他任何东西),并把用户帐户, 最好不要将权限分配给特定的用户帐户,组的存在正是为了这个目的。
关于将组添加到每个工作站上的本地pipe理员组:plase不要手动完成:-)
使用命令net localgroup Administrators /add DOMAIN\YourGroup或Restricted Groups组策略设置的简单机器启动脚本。
创build一个“工作站pipe理员”域本地范围组。 将所有工作站放在一个通用的OU层次或相同的OU中。 链接GPO与pipe理员组的受限组设置,以仅包含Workstation Admin。 现在,接下来应该有这个访问权限的任何逻辑组的人员。 你可能会想要“支持”和“域pipe理员”嵌套在该组。