В нашем домене AD 2003 каждый пользователь получает права локального администратора на своем компьютере. Все остальные могут войти в систему со своей учетной записью домена как обычный пользователь.
Прямо сейчас это означает переход на рабочий стол и добавление пользователя в качестве локального администратора вручную.
Есть ли способ автоматизировать этот процесс с помощью сценариев входа в систему или объектов групповой политики? Я нашел способы использовать gpo, чтобы каждый, кто входит в систему на компьютере, стал локальным администратором, но на самом деле хочет предоставить его только основному пользователю (или в некоторых случаях пользователям) компьютера.
Я также видел методы, которые требовали добавления группы для каждого компьютера ... но я действительно не хочу загромождать AD таким образом.
У меня есть список, сопоставляющий каждого пользователя с каждым именем компьютера. Если это важно, настольные компьютеры представляют собой смесь xp и win7.
Надеюсь, что нет. Это не очень безопасная вещь. Я бы посоветовал пользователям использовать отдельную учетную запись для действий, требующих повышенных разрешений. Мы используем локальную учетную запись, но это также может быть учетная запись домена, добавленная в группу локальных администраторов.
Я не знаю встроенного инструмента групповой политики для этого, но простое решение - использовать Powershell для создания сценария такой модификации.
Для данного компьютера вывести всех пользователей из группы администраторов, добавить желаемых пользователей в группу, промыть и повторить. Его можно запланировать для запуска на сервере и регулярно применять повторно, что даст тот же результат, что и групповая политика.
Раньше я делал что-то подобное. Я настоятельно рекомендую вам выяснить, зачем вашим пользователям нужны права администратора. Один из арендаторов управляемой ИТ-инфраструктуры - лишить пользователей прав, которые не нужны для выполнения их работы.
Вы также можете добавить пользователя в локальную группу администраторов с помощью GPP (предпочтительная часть GPO).
Вы можете создать один объект групповой политики на верхнем уровне и использовать таргетинг GPP, чтобы добавить пользователя в группу администраторов для определенного компьютера.
Добавьте этого пользователя во встроенную группу, если имя компьютера XX.
Для 200 пользователей у вас будет 200 строк в этом GPO.
Это займет некоторое время, но вы сможете сделать это удаленно. И если у пользователя когда-либо потребуется отозвать свое право, вы измените параметр «Обновление GPP» в строке, чтобы удалить.
Если хотите, могу добавить несколько скриншотов.