GPO를 통한 로컬 관리자 있거나 도메인의 모든 단일

Windows 2008R2 DC (그냥 설정)가 있으며 이미 약 25 개의 Windows 7 전문가 / 최종 클라이언트가 있었으며 이제 새 도메인 / dc에 가입 할 것입니다. 사용자는 이미 컴퓨터를 사용하고 있었고 해당 컴퓨터의 로컬 관리자였습니다.

모든 LOCAL windows 7 상자에서 생성 할 수 있고 로컬 관리자 권한이 있거나 도메인의 모든 단일 PC에 대해 LOCAL 관리자 권한이있는 도메인 사용자를 가질 수있는 GPO를 통해 USER를 배포하려고합니다 (Windows XP, 7).

누군가이 일을 도울 수 있다면 감사 할 것입니다-나는 스스로 사용자를 만들려고 시도했지만 생성되지는 않았지만 Computer SettingsGPO 편집 의 그룹을 사용하여 사용자를 만들었습니다.

읽어 주셔서 감사합니다-당신의지도 리 하툼을 기대합니다



답변

저의 첫 번째 권장 사항은 해당 관리자 권한을 사용자와 떨어져있는 것입니다. 결국 인생이 훨씬 쉬워집니다. 너무 쉽게! 사용자는 관리자 인 경우 … 바이러스, 스파이웨어, 도구 모음, 정크 프리웨어,이 설정을 변경하고이 파일을 삭제하면 처리하지 않을 때 실제로 컴퓨터를 엉망으로 만드는 경향이 있습니다.

즉, 사용자에게 관리자 권한을 부여해야하는 경우 각 PC에 대해 로컬 관리자 권한이있는 도메인 사용자를 쉽게 만들 수 있습니다. AD에서 사용자를 생성하여 시작하십시오. 그런 다음 그룹 정책을 작성하여 모든 워크 스테이션에 적용하십시오. 이 그룹 정책에서 다음과 같이 드릴 다운하십시오.

컴퓨터 구성-> 정책-> Windows 설정-> 보안 설정-> 제한된 그룹

제한된 새 그룹을 추가하고 Domain Admins와 방금 만든 사용자가 해당 그룹의 구성원인지 확인하십시오. 이렇게하면 이러한 컴퓨터에 다른 로컬 관리자를 추가 할 수 없지만 원하는 작업을 간단히 수행 할 수 있습니다.


답변

다른 답변도 잘 다루었지만 그룹 정책 클라이언트 쪽 기본 설정은 제한된 그룹보다 유연성이 높지만 클라이언트 호환성은 낮지 만 로컬 사용자 및 그룹을 관리하는 또 다른 좋은 옵션입니다.


답변

http://www.windowsecurity.com/articles/using-restricted-groups.html

보안 원칙을 사용해야합니다. 데스크톱 관리자 그룹을 생성하고 여기에 사용자를 추가 한 다음 제한된 그룹에 추가하십시오.