受限群组可以保留本地账户吗？

受限群组可以保留本地账户吗？一般，使用受限群组的步骤如下：

登陆到工作站，安装adminpak.msi，然后用域管理员身份执行行dsa.msc。在ou上设置策略：受限群组--新增群组--浏览--选择local administrators，确定。

添加成员，新增，选择test账户，即可将本地用户账户test加入本地管理群组（之前test并不在本地管理员组）。强制制刷新略后，使用administrator登录工作站。将test账户从本地管理员群组中移除。重新启动计算机，再次用administrator登陆，lusrmgr.msc查看本地管理员群组中的成员，test账户仍然存在。

后来在winmag管理脚本组的回复如何在本地管理员组中保留固定的本地和域账户的时候，icuc88(△) 朋友提示我，同样可以使用受限群组来完成这个任务。

然后我做了几个实验，并询问了MS的工程师，明确了这个问题。

“您是可以在Windows 2000GPO中浏览到本地的账号。但是，这些帐号只会被当前机器识别。其它机器是找不到这些本地账号的。即使您在其它机器上添加同名的账号也没用。虽然这些本地账号的名字相同但SID不同。用户的SID是不可以改变的。所以，如果您要添加本地账号就需要在每台机器上手动一个个的加。域的组策略是用来为域资源服务的。所以，这个域的组策略和其它策略一样不会管理本地的账户资源。”

这其中有个很有意思的问题，是我之前没有意识到的。

当浏览到 administrators 的时候，这个组其实是个象 %username%一样的相对变量，也就是说可以通过在策略中指定这个组，来应用于策略所覆盖的所有工作站local administrators，但它不会影响到dc bulitin administrators。

固然这个策略是不错的东西，但是在实际应用中会遇到问题，那就是领导的账户会添加在local administrators中，在指定策略的时候，记得把他们的计算机账户挑出来哟！

有趣的东西

喜欢这篇文章吗？那就点击 订阅吧

首页| 评论 6 | 引用 0 | 编辑 按下键盘Ctrl+D会有惊喜发生
原文：受限群组可以保留本地账户吗？
分类：[首页]>>[系统网络管理]
原创： 活动目录SEO博客版权所有。转载时必须注明本声明，本文作者和链接。
作者： gnaw0725
链接：http://gnaw0725.blogbus.com/logs/4888566.html
时间：2004-07-28 20:21
收藏到：

上一篇日志：<<  Rubbish
下一篇日志：rundll32 netplwiz.dll,UsersRunDll  >>