<P> Using Restricted Groups</P>
<P> Do you have users of Windows 2000 and XP Professional computers removing the Domain Administrators group from the local Administrators group on their computer? Do you need to have a special user account placed in the Administrator group of every computer on the network for remote administrative functions?</P>
<P> 很不幸,我碰到了相同的问题。那么就来看看Restricted Groups这个策略能带来什么效果吧。</P>
<P> <STRONG>试验环境:</STRONG><BR> 1、Server 2003和XP(客户端计算机名xp1、原始的域用户帐号也为xp1)。<BR> 2、创建OU取名为computer,将客户端电脑移动到该OU内。</P>
<P> <STRONG>提示:</STRONG><BR> 1、受限组的策略是应用在计算机帐户上的,所以请确保OU内的是计算机帐户而非用户帐户。<BR> 2、良好的习惯是不在Default Domain Policy 和 Default Domain Controller Policy内设置组策略。</P>
<P> 在Computer OU上建立组策略,取名为Restricted Groups,如图1</P>
<P> </P>
<P align=center><IMG onmouseover="attachimginfo(this, 'attach_19612', 1);attachimg(this, 'mouseover')" onmouseout="attachimginfo(this, 'attach_19612', 0, event)" alt="" src="/bbs/attachments/computer/20081214/2008121411204085977801.jpg" onload="attachimg(this, 'load')" border=0 twffan="done"></P>
<P align=center>图1</P>
<P> </P>
<P> 选中受限制的组后,在右边空白处右键单击,然后添加需要的组。在这里我希望做到所有该OU中的客户端电脑的本地管理员组内只有域用户xp2存在其中。所以在选中了Administrators这个组后,为其添加成员。如图2</P>
<P> </P>
<P align=center><IMG onmouseover="attachimginfo(this, 'attach_19613', 1);attachimg(this, 'mouseover')" onmouseout="attachimginfo(this, 'attach_19613', 0, event)" alt="" src="/bbs/attachments/computer/20081214/2008121411204095377802.jpg" onload="attachimg(this, 'load')" border=0 twffan="done"></P>
<P align=center>图2</P>
<P> </P>
<P> 这是xp1受到该组策略影响前的图片,如图3</P>
<P> </P>
<P align=center><IMG onmouseover="attachimginfo(this, 'attach_19614', 1);attachimg(this, 'mouseover')" onmouseout="attachimginfo(this, 'attach_19614', 0, event)" alt="" src="/bbs/attachments/computer/20081214/20081214112041077803.jpg" onload="attachimg(this, 'load')" border=0 twffan="done"></P>
<P align=center>图3<BR></P>
<P> </P>
<P> 在客户端刷新策略后,可以看到除了内置的本地管理员帐号,另外两个都消失了。取而代之的是域用户xp2的帐号了。如图4</P>
<P> </P>
<P align=center><IMG onmouseover="attachimginfo(this, 'attach_19615', 1);attachimg(this, 'mouseover')" onmouseout="attachimginfo(this, 'attach_19615', 0, event)" alt="" src="/bbs/attachments/computer/20081214/200812141120414677804.jpg" onload="attachimg(this, 'load')" border=0 twffan="done"></P>
<P align=center>图4</P>
<P> </P>
<P> 如果组策略删除的话,前面消失的两个帐号会再次出现。从这里也可以看出,受限组策略可以控制组中有哪些帐号存在,不被允许的帐号会被自动挤出去。(除了内置的administrator帐号)</P>
<P> 在图2中的下方有个选项为“这个组隶属于”,怎么说呢?举个例子吧。</P>
<P> 当要确保Domain Admins这个组一定要存在于客户端本地管理员组内时,就可以用到这个选项。策略生效后Domain Admins会被添加进客户端电脑的本地管理员组,并且不会挤掉原先存在的那些帐户或组,和上面的例子是有所区别的。另外这个选项只能添加组,若需要添加成员就把成员帐号添加到组内,然后选中该组即可。</P>
<P> 小结:<BR> Restricted Group带来的好处是有效控制组内的成员,比如既便客户端域帐号拥有本地管理员权限,并删除了一些网管设置的帐号,我们只需要重启一下电脑一切就又恢复了原样!<BR></P> <
发布: 2008-12-14 | 
发布者: 樱子 | 
来源: 江西广告网
转至论坛
你的位置: