文档介绍:膈域用户本地权限设置文档蒆薂情况说明蒁本章节内容将会对域环境中的本地权限进行一些说明,并且会说明为什么域用户登陆本地机器后不能安装服务的原因,下一章节将会给出具体解决步骤,如急需解决问题的情况下可直接跳过本章节阅读下一章节内容。芈在AD上建立域用户的时候,默认是隶属于DomainUses用户组袇芄芀我们登陆到加入域的客户端机器上,打开用户管理模块,我们可以发现,DomainUsers组只隶属于本地的Users组,在本地的administrators组中没有DoaminUsers组;然而安装windows服务必须是本地administrators组中的用户才可以安装。莈羄螂罿从上图中可以看到,DomainAdmins组默认就是在本地的administratos组中的,这就解释了为什么通常情况下本地管理员和域管理员都能安装windows服务。蒇但是有些ghost安装的winXP会把本地administrators组中的Domainadmins删除,后果就导致了只有本地管理员能安装windows服务,域管理员不能安装windows服务。莅 为了能使加入域的客户端电脑能够安装windows服务,就需要获得本地的administrators组的权限,有如下几种方法蒄通过组策略强制把DomainAdmins加入到每个客户端的本地administrators组中,然后通过大通的权限获取机制安装大通windows服务。肂通过组策略把DomainUsers加入到每个客户端的本地administrators组中,这样所有登陆的域用户都可以安装服务,全部安装完成后再通过组策略把DomainUsers从每个客户端的本地administrators组中移除。薇下一章节就是解决步骤。螆解决步骤袂方法1:,内容如下:薇Setws=("")***compname=("%COMPUTERNAME%")蚄SetadGrp=GetObject("WinNT://"&compname&"/Administrators,group")("WinNT://DomainAdmins,group")蚇薈在AD中右键点击“域()”——>属性——>组策略肂蚃“新建”——“组策略名称随便取”——“编辑”螇蚅计算机配置——windows设置——脚本——启动螃莂点击“显示文件”,,点击添加,。蒅膀羇完成后,客户端策略刷新(手动刷新命令是gpupdate/force),电脑重启后就有权限了。薆羃罿方法2:肇添加策略的操作步骤与方法1完全相同,增加权限的脚本和删除权限的脚本如下::蚅Setws=("")羂compname=("%COMPUTERNAME%")膆SetadGrp=GetObject("WinNT://"&compname&"/Administrators,group")("WinNT://