我有:
- 網域控制器
- 多個網域用戶
- 多個 Windows 工作站(該網域的用戶端)。
Windows 工作站是全新的實體電腦。除了加入網域之外,沒有對其進行任何配置。
有3點不懂:
有沒有辦法在活動目錄中設定本機使用者權限?例如,該網域使用者(或群組)應該是該實體電腦上的管理員。或者我應該在每台實體計算機上手動執行此操作?
有沒有辦法拒絕特定機器上的特定使用者?例如,所有使用者都可以使用 RDP 連接除一台工作站之外的所有工作站。
我嘗試在一台工作站上手動設定本機群組成員資格。我不明白,但當我輸入 時,我可以看到我的本機群組成員資格
whoami /groups,但我在命令結果中看到一個空白行「本機群組成員資格」net user bob /domain。是什麼原因 ?也許net user xxx /domain不是為了展示本地群體而設計的?但在這種情況下,為什麼我會看到一個空白行「本機群組成員身分」?我嘗試輸入net user bob(不含 /domain 標誌),但收到錯誤,因為該用戶本機不存在。
謝謝
答案1
有沒有辦法在活動目錄中設定本機使用者權限?例如,該網域使用者(或群組)應該是該實體電腦上的管理員。或者我應該在每台實體計算機上手動執行此操作?
透過群組原則,使用「首選項 > 控制台 > 本機使用者和群組」。 (我認為還有一種不同的方式,但首選項在這裡運行良好,並允許多個重疊的 GPO 添加自己的管理組。)
但是,如果每台電腦都有指定為管理員的特定用戶,則在每台電腦上手動執行此操作可能會更容易。 (可以使用sc遠端啟動WinRM服務,然後使用winrs或PowerShell Remoting遠端呼叫net localgroup /add...)
您當然可以同時使用 – GPO 向「IT 人員」授予本機管理員權限(並從本機管理員中刪除「網域管理員」!),但手動向指定使用者授予本機管理員權限。
有沒有辦法拒絕特定機器上的特定使用者?例如,所有使用者都可以使用 RDP 連接除一台工作站之外的所有工作站。
透過群組原則,設定「Windows 設定 > 安全性設定 > 本機原則 > 使用者權限指派 > [允許/拒絕]透過遠端桌面服務登入」。預設僅允許「RDP 使用者」的管理員+成員。
這也可以透過 gpedit.msc 或 secpol.msc 在每台電腦上進行本機配置,但由於預設設定已經禁止不在「RDP 用戶」中的用戶,因此新增/刪除群組成員會更簡單。
(注意:“互動式”登入類型包括本機登入和RDP 登錄,而“網路”登入類型適用於SMB 存取。如果您安裝SSH,它通常被歸類為“互動式”,但在某些情況下可以是「網路」。
我嘗試在一台工作站上手動設定本機群組成員資格。我不明白,但當我輸入 whoami /groups 時,我可以看到我的本機群組成員資格,但我在 net user bob /domain 命令結果中看到一個空白行「本機群組成員資格」。是什麼原因 ?也許 net user xxx /domain 不是為顯示本機群組而設計的?但在這種情況下,為什麼我會看到一個空白行「本機群組成員身分」?我嘗試輸入 net user bob (不含 /domain 標誌),但收到錯誤,因為該使用者本機不存在。
它將顯示本地會員資格在網域控制器上,顯然。
我懷疑它是 AD 之前的域(例如基於 NetBIOS 的“NT 域”)的遺物,因為net.exe仍然有很多那個時代的遺留代碼 – 它甚至還記得 OS/2 LAN Manager 甚至 NetWare(例如未使用的) /fpnw開關)。