[问题求助] 关于在本地管理员组中加入域用户的脚本

wwzhywyq

公司现在是域环境，但是客户端有很多需要本地的管理员权限，想编写一个脚本来达到目的，奈何水平有限无法实现，希望版主和各位达人能够给予帮助和解答。在此万分感谢！！

Seder

1、远程登陆域控；
2、在D盘在存放脚本位置写一个内容为net  localgroup "administrators" "domain users" /add的bat文件，命名为添加域用户组到administrators组;3、开始-运行-dsa.msc选择要这样操作的OU（组织单元）（里面包含了所需要的用户、用户组、计算机、计算机组、下属OU）右键-属性-组策略，增加组策略，编辑开机脚本，指向刚才写的bat文件。保存。gpupdate /force更新组策略。

powerbat

回复 3# ivor

这位可能不了解什么叫“域环境”。
就算不了解，看看2楼的回复也应该明白一些实现上的难度和需要考虑的地方。

就像wmi一样，系统中有一个专门操作AD的组件(ADSI/LDAP)，vbs可以调用。
那玩意看似挺复杂，好像有专门的书籍，可惜本人没了解过相关知识，也没那个环境去研究。

find

回复 3# ivor


你给个实例学习一下呗

ivor

net localgroup 不会用吗，那你危险咯

qzwqzw

基本上有两类方式：

一是使用域策略分发用户登录脚本
在脚本中用net user将当前登录的域帐号加为本机管理员
因为脚本本身需要管理员权限
脚本中很可能需要明文书写有本地管理员权限的帐号和密码
这很有可能带来安全性隐患

二是使用批处理在管理机上远程操作
将指定的域用户账户加入到指定计算机的管理员组中
它需要一张域用户和计算机名称/IP地址的对应表
这可能带来需要不断更新对应表的弊端