第一種
1,新建的域用戶默認屬於 “user” 下的 ”domain user” 組成員。
2,pc加域后,默認pc端的 ”本地用戶和組”里的 “組”里的 ”users” 包含 ”domain users”; administrator組里包含 “domain admins”.
3 , 所以要想域賬戶擁有管理員權限,可以在域控制器里將域賬號添加到domian admin是組里,當然你也可以在pc端手動將此域賬戶加入到administrator組里。
4,新建的組(非組織單元,例如pc1&pc2&pc3組成一個ppcc組)即使隸屬於域空服務器的administrators組,里面的用戶也是沒辦法自動獲取pc段管理員權限的,因為用戶本身不屬於domain admins組,只有domain admin組才會在pc段加域的時候默認推送到本地的administrator組里。如果組里有成員是在domain admins里,登錄pc后則可以有管理員權限。
5、如果想更改本地管理員賬號,可參考本人的另一篇文章,詳細記錄如何把administrator更改為adminxwwbuy,此策略是計算機策略,只對計算機生效。https://www.cnblogs.com/xuxiaole/p/13152025.html
第二種
將域賬號通過組策略提升權限。
1、打開組策略編輯器gpmc.msc.如下圖,右擊“組策略對象”,右擊——新建——輸入策略名,完成。
2、選擇新建的策略,右擊 “編輯”,選擇如圖兩個地方的 “本地用戶和組”,一個是計算機策略,一個是用戶策略,正常用用戶策略就行了,畢竟我們是把用戶提權到管理員權限的了。
3、選中本地用戶和組后,在右側新建administrator(內置)組,如下圖,右側空白處右擊——新建——本地組,選擇組名(Administrator(內置)),下面點擊 "添加",出線的大框里選擇小紅框。
添加現有的域賬戶即可,如果賬戶多,可以將賬戶加入到特定的管理員組,那么這里直接添加這個組即可。注意:直接手動輸入是不行的,你會發現沒有sid(手動添加重啟后會不會有sid不清楚,沒試過,建議按正常操作來)。
4、添加完畢后ok,如果是添加的組,那以后只需要在域控中將要賦予管理員權限的人員加入到組中即可。
5、最后將此策略連接到需要添加管理員賬戶的ou中,結束。