一、簡介
公司大部分主機加入域已有一段時間了,由於某軟件沒管理員權限不能執行,所以管理員權限一直沒撤銷,不能完全實現域的管理效果。但起碼實現了域用戶脫離不了域的控制:http://www.cnblogs.com/sjy000/p/4713389.html。
撤銷管理員后,所有用戶加入Power Users組,只有主管仍是Administrators組。Power Users組可以正常訪問本地所有資源,不能安裝軟件、修改注冊表、修改TCP/IP、修改計算機等。同事修改計算機設置時,向SA申請,SA使用管理員賬號登錄后修改;安裝軟件由SA則使用批處理輸入程序的完整路徑后開始安裝,批處理用的是runas命令,讓普通用戶以管理員的身份執行程序。軟件管理方式還可使用域組策略部署。
另外還有個域組策略腳本執行身份的問題需解決。域組策略腳本是以登錄的用戶身份執行的,而用戶身份只是屬於Power Users組,當腳本的命令涉及修改系統設置,就無法生效了。這時還得使用runas命令解決,讓原腳本以管理員身份執行。
二、服務器配置
1、域用戶撤銷本地管理員,禁止本地用戶登錄
Administrators組成員設為只有域Domain Admins,Power Users與Users組只有Domain Users。
該設置還有額外的效果加成——本地用戶無法登錄,因為這些用戶不再屬於這三個本地組了。
2、在客戶端執行一次runas,保存管理員的密碼
域TEST.COM,管理員賬號administrator。
/savecred選項表示執行一次后保存密碼;/noprofile選項表示不加載用戶的配置文件,不加該選項部分主機找不到路徑
runas /savecred /noprofile /user:TEST\administrator calc.exe
3、runas命令指向域組策略舊的腳本,以管理員身份執行
runas /savecred /noprofile /user:TEST\administrator \\192.168.1.100\bat\old.bat
使用runas后,批處理會彈窗運行,進行下美化。
title XX公司系統管理腳本
color 1F
echo 配置中,請勿關閉... 命令>%temp%\result.tmp del %temp%\result.tmp ::隱藏執行結果
4、編寫批處理,SA運行、安裝軟件的工具
輸入程序完整路徑后執行。
@echo off color 1F title Administrator echo. set /p a=Enter the programme path: runas /savecred /noprofile /user:TEST\administrator %a%
pause
軟件Bat To Exe Converter將批處理轉換為exe程序,禁止用戶查看命令。
三、客戶端測試
1、執行一次runas保存管理員密碼
2、嘗試修改IP、創建賬號、修改系統設置、安裝軟件
3、嘗試舊本地管理員賬號登錄
4、SA使用批處理幫同事安裝軟件
本文出自 “運維菜鳥.log” 博客,謝絕轉載!