web-dev-qa-db-ja.com

(GPO)特定のOU内のすべてのPCでADユーザーをローカル管理者として設定する

私のADには、次の2つのOUがあります:OU PC and OU User。 OU「ユーザー」には数人のユーザーがあり、OU「PC」にはいくつかのマシンがあります。 GPOこれらのユーザーのいずれかに対して、GPO $ ===を作成する必要があります。これにより、これらのすべてのマシンの「ローカル管理者グループ」に自動的に追加されます。もちろん、私はこれらすべてのPCで彼をローカル管理者として手動で設定することもできましたが、それを自動的に行うために必要です。

GPOを使用してそれを行うオプションまたは方法はありますか?

こんにちは!

1
Mr. Buttons

Restricted Groupsを使用してローカル管理者を追加します。これはComputer Configurationにあります。したがって、定義により、影響を与えたいコンピューターを含むOUに、このGPOを追加できます。

  1. ADに新しいグループオブジェクトを追加します。 DOMAIN\Local Adminsそのコンテナは関係ありません。
  2. 新しいGPO "Local Admins"を追加し、OU=PCにリンクします。
  3. コンピュータの構成>ポリシー>Windowsの設定>セキュリティの設定>制限されたグループ、グループを追加DOMAIN\Local Admins
  4. に追加するこのグループは、グループのメンバーです:AdministratorsRemote Desktop Users

異なる言語バージョンのWindowsを使用している場合、管理 グループ名は異なる場合があります 。多言語環境では、これらの 汎用グループセキュリティ識別子(SID)で参照できます。

  • AdministratorsS-1-5-32-544
  • S-1-5-32-555 for BUILTIN\Remote Desktop Users
1
Esa Jokinen

ボタン。

グループポリシーの基本設定を使用してローカルグループのメンバーシップを変更するか、制限付きグループオプションを使用してローカルグループのメンバーシップを調整できます。以下の2つのリンクは、いくつかのガイダンスを提供します。

https://technet.Microsoft.com/en-us/library/dn581922(v = ws.11).aspx

https://social.technet.Microsoft.com/wiki/contents/articles/20402.active-directory-group-policy-restricted-groups.aspx

0
Michael Brown