文章內(nèi)容

windows server域用戶提升到本地更高權(quán)限組中的方法

發(fā)布時(shí)間: 2012/9/6 18:16:39

域用戶登錄后是默認(rèn)加入本地users組的，但USERs組中的用戶權(quán)限太小了，如不能設(shè)置共享，安裝本地打印機(jī)，等，所以一個(gè)網(wǎng)管域中電可行的方案就是將usrs組用戶提升為Power Users 或Domain Admin組。安全風(fēng)險(xiǎn)是增加了，但是一般的場(chǎng)合問(wèn)題不是很大。

一、將域用戶加入本地power user組
腳本：
Option Explicit
Dim oWshNetwork
Set oWshNetwork = WScript.CreateObject("WScript.Network")
Dim sLogonComputerName
'得到當(dāng)前登錄計(jì)算機(jī)名
sLogonComputerName = oWshNetwork.ComputerName
'WScript.Echo sLogonComputerName
Dim oLocalGroup '得到本地 Power Users Group 對(duì)象
Set oLocalGroup = GetObject("WinNT://" + sLogonComputerName + "/Power Users,Group")
'WScript.Echo oLocalGroup.Name
'注意下一句中的 HENU-SOFTLAB 它必須與域的NETBIOS名大小寫相一致，否則會(huì)出錯(cuò)
If oLocalGroup.IsMember("WinNT://HENU-SOFTLAB/Domain Users") Then
WScript.Quit
Else
oLocalGroup.Add "WinNT://HENU-SOFTLAB/Domain Users"
End If

二、將域用戶加入到客戶機(jī)本地管理員組
用net命令：（用本地管理員登錄后）
整條命令：runas /user: administrator "net localgroup administrators domain.com\mmuser /add"
命令說(shuō)明：這個(gè)命令是把ＭＭ域中的賬號(hào)加入到本地管理員組中。
其中administrator 是你在本機(jī)的管理員賬號(hào)，domain.com是你我域名稱，mmuser是需要提升權(quán)限的用戶
運(yùn)行完命令會(huì)提示輸入本機(jī)administrator的密碼，接著命令就會(huì)成功完成。
之后可以使用 runas /user: administrator "net localgroup administrators domain.com\mmuser /del"來(lái)刪除掉MM的本地管理員權(quán)限

三、把power users組的用戶提升為administrators組
我以前編寫的一個(gè)腳本admin.vbs，用來(lái)遠(yuǎn)程把power users組的用戶提升為administrators組，適當(dāng)修改以下再加點(diǎn)批處理程序，就可以應(yīng)該可以實(shí)現(xiàn)樓主的功能。以下內(nèi)容，供參考：

if wscript.arguments.count <> 3 then
wscript.echo "Usage: cscript " & wscript.scriptname & " computername groupname username" & vbCrLf & vbCrLf
wscript.quit
end if
Set unNamedArguments = WScript.Arguments.UnNamed
Set objGroupAdm = GetObject("WinNT://" & unNamedArguments.Item(0) & "/Administrators,group")
Set objGroupPower = GetObject("WinNT://" & unNamedArguments.Item(0) & "/" & unNamedArguments.Item(1) & ",group")
For Each objUser in objGroupPower.Members
If objUser.Name = unNamedArguments.Item(2) Then
objGroupPower.Remove(objUser.ADsPath)
objGroupAdm.Add(objUser.ADsPath)
WScript.Echo("The user "& unNamedArguments.Item(0)&":"&objUser.Name & " is changed to Administrators Group")
End if
Next 'end for

四、在組策略內(nèi)先實(shí)現(xiàn)把用戶由USERS權(quán)限升級(jí)為Power User權(quán)限
在組策略內(nèi)先實(shí)現(xiàn)把用戶由USERS權(quán)限升級(jí)為Power User權(quán)限

*打開(kāi)“default domain poliy“（域控）--->計(jì)算機(jī)配置->windows設(shè)置->安全設(shè)置->受限制的組
*右擊->添加組-->"Power Users"->雙擊該組->這個(gè)組的成員->添加-域名\domain users
*如果是windows2000的系統(tǒng)--運(yùn)行中--輸入Secedit /refresh policy_machine /enforce 實(shí)現(xiàn)組策略生效
*如果是windows2003的系統(tǒng)輸入gpupdate /force
OK,你的客戶端只要重啟就可以實(shí)現(xiàn)把由USERS權(quán)限升級(jí)為Power Users權(quán)限

五、將域用戶或域組加入本地組的腳本
一個(gè)AD域環(huán)境，許多用戶將Domain Admins組從本地Administrators組中刪除了，導(dǎo)致域管理員進(jìn)行管理時(shí)諸多麻煩。希望用一個(gè)腳本在計(jì)算機(jī)開(kāi)機(jī)時(shí)能夠自動(dòng)將Domain Admins組加入本地Administrators組中。
這個(gè)腳本稍作修改可以將任意的域用戶或組加入到本地組中。腳本如下：
'────────────────────────────
'腳本功能：
'將域管理員組加入計(jì)算機(jī)的本地管理員組
'主要用于修復(fù)域管理員組被手動(dòng)從本地管理員組中刪除的問(wèn)題
'該腳本需要在已經(jīng)加入域環(huán)境的計(jì)算機(jī)上運(yùn)行
'本腳本稍作修改可以將任何用戶或組加入到任何組中
'
'────────────────────────────

Set WshNetwork = WScript.CreateObject("WScript.Network")
'獲得當(dāng)前計(jì)算機(jī)的名稱
strComputer = WshNetwork.ComputerName
'獲得當(dāng)前域的NetBIOS名稱
strDomain = WshNetwork.UserDomain
'設(shè)置當(dāng)前計(jì)算機(jī)的本地administrators組和域Domain Admins組
'如果需要將其他用戶加入其他本地組，可以更改組名或用戶名
Set objGroup = GetObject("WinNT://" & strComputer & "/Administrators")
Set objUser = GetObject("WinNT://" & strDomain & "/Domain Admins")
'判斷本地administrators組成員，如果Domain Admins已經(jīng)是成員，便退出執(zhí)行
For Each objListUser in objGroup.Members
If objListUser.name ="Domain Admins" Then
Wscript.Quit
End If
Next
'否則就將Domain Admins加入本地管理員組
objGroup.Add(objUser.ADsPath)
經(jīng)實(shí)際測(cè)試第五個(gè)，在沒(méi)有加入域的機(jī)器上運(yùn)行會(huì)提示找不到域，在入域的機(jī)上運(yùn)行又分兩種：一種是用有入域權(quán)限用戶運(yùn)行會(huì)提示沒(méi)有本機(jī)管理員權(quán)限，另一種是用本機(jī)管理員權(quán)限又提示沒(méi)有域管理員權(quán)限，查詢不到域信息，所以最后只能用第二種方法：
x.com.corp
在本機(jī)管理員下用
net localgroup administrators x\grp-it-sys /add
在有入域權(quán)限用戶下用
runas /user:administrator "net localgroup administrators x\grp-it-sys /add"