通常Domain Admins组的成员具有终端和域控的双重管理员权限。这样的权限对于普通运维人员来说已经是相当高了。同时对于域内的服务器安全性也有着一定的威胁。而Domain Users组的成员无法远程终端且也不具备管理员权限。我们考虑是否可以通过某种设置达到,运维同事的域账户可以远程域内所有的终端服务器,并具有管理员权限。但无法远程管理域控。为此我们可以通过以下几种办法实现:
1、域控中新建一个全局下的单独安全组:
且此组不隶属于域内的任何其他组:
当我们新建一个域账户时,删除新建此用户时用户默认隶属于的Domain Users组,将此用户添加隶属到ceshi组内:
之后,我们在组策略中,计算机配置----首选项----控制面板----本地用户和组中,新建本地组:
选择组名为:administrator(内置),添加成员为ceshi的组:
设置完成。本地测试远用jiangxiaofeng账户远程域控显示:
测试远程终端客户机,远程正常,进入系统后,运行:net localgroup administrators
显示administrators组下面包含ceshi组。