Я хотел бы знать, возможно ли создать сценарий (power shell или vbs), который автоматически вставляет пользователей папки сервера домена в активный каталог (windows 2003).
Я хочу запустить его на локальном ПК (Windows), который находится в домене, чтобы настроить пользователей в качестве администраторов, вставляемых автоматически.
Является ли это возможным? каждый день я размещаю более двадцати пользователей на локальном компьютере, и это довольно утомительно.
Есть намного более простые способы и лучшие способы сделать это ...
Локальная групповая политика безопасности - создайте новую групповую политику, свяжите ее с компьютерами, которые вы хотите настроить, отредактируйте групповую политику и выберите Конфигурация компьютера> Политики> Параметры Windows> Группы с ограниченным доступом> Создайте новую группу и назовите ее "Администраторы". Добавьте своих пользователей к этому. Теперь перезагрузите ваши компьютеры, и все они добавят пользователей в свою группу администраторов:
Групповая политика предпочтений компьютера - снова то же самое, создайте групповую политику, связанную с вашими компьютерами, и выберите "Конфигурация компьютера"> "Настройки"> "Параметры панели управления"> "Локальные пользователи и группы"> используйте функцию "Добавить", чтобы добавить пользователей в администраторы:
Скрипт PowerShell
$group = [ADSI]"WinNT://$env:COMPUTERNAME/Administrators,group"
$domainName = "myDomain"
Get-ADUser -Filter * -properties * -SearchBase “OU=DefaultUsers,DC=myDomain,DC=local” | ForEach {
$user = $_.sAMAccountName
$group.Add("WinNT://$domainName/$user")
Write-Host (($_.sAMAccountName) + " Added")
}
Это будет ошибкой для каждого пользователя, который уже находится в группе - но я был достаточно хорош, чтобы дать вам старт от TechNet ... Я не адаптирую это, хотя - мы не сервис сценариев.
Пользователи домена как локальные администраторы Если все пользователи становятся администраторами на всех машинах, просто добавьте группу "Пользователи домена" к локальным администраторам вручную на каждой машине (или с помощью метода, описанного выше) - таким образом, все будущие пользователи автоматически станут администраторами - учитывая, что все пользователи автоматически добавляются в "Пользователи домена" при создании.
Большая проблема Большая проблема, с которой вы столкнулись, заключается в том, что это не только плохая практика (пользователи не должны быть администраторами, если в этом нет необходимости), но и ее нельзя поддерживать ... если вам приходится повторять всю эту работу каждый раз, когда кто-то присоединяется к новому.
Чтобы упростить эту задачу, вы можете упаковать что-то вроде скрипта powershell в качестве скрипта запуска на группах компьютеров с помощью групповой политики.
Вы также можете создать "Группу" Active Directory для каждого подразделения (папки) пользователей и просто добавить эту группу к своим локальным администраторам ... таким образом, когда вы добавляете кого-то в эту группу - они станут локальными администраторами со следующего раза они входят.
С другой стороны - вам действительно нужно пересмотреть безопасность и то, как все делается в вашей компании, если вы раздаете права администратора всем ... но я не могу сказать, почему - возможно, есть законная причина, но это немного и далеко друг от друга.