域账户提升本地管理员权限的两种方式

时间:2024-02-18 22:14:30

第一种

1,新建的域用户默认属于 “user” 下的 ”domain user” 组成员。

2,pc加域后,默认pc端的  ”本地用户和组”里的 “组”里的 ”users” 包含 ”domain users”;   administrator组里包含  “domain admins”.

3 , 所以要想域账户拥有管理员权限,可以在域控制器里将域账号添加到domian admin是组里,当然你也可以在pc端手动将此域账户加入到administrator组里。

4,新建的组(非组织单元,例如pc1&pc2&pc3组成一个ppcc组)即使隶属于域空服务器的administrators组,里面的用户也是没办法自动获取pc段管理员权限的,因为用户本身不属于domain admins组,只有domain admin组才会在pc段加域的时候默认推送到本地的administrator组里。如果组里有成员是在domain admins里,登录pc后则可以有管理员权限。

 

5、如果想更改本地管理员账号,可参考本人的另一篇文章,详细记录如何把administrator更改为adminxwwbuy,此策略是计算机策略,只对计算机生效。https://www.cnblogs.com/xuxiaole/p/13152025.html

 

第二种

将域账号通过组策略提升权限。

1、打开组策略编辑器gpmc.msc.如下图,右击“组策略对象”,右击——新建——输入策略名,完成。

2、选择新建的策略,右击  “编辑”,选择如图两个地方的 “本地用户和组”,一个是计算机策略,一个是用户策略,正常用用户策略就行了,毕竟我们是把用户提权到管理员权限的了。

3、选中本地用户和组后,在右侧新建administrator(内置)组,如下图,右侧空白处右击——新建——本地组,选择组名(Administrator(内置)),下面点击 "添加",出线的大框里选择小红框。

添加现有的域账户即可,如果账户多,可以将账户加入到特定的管理员组,那么这里直接添加这个组即可。注意:直接手动输入是不行的,你会发现没有sid(手动添加重启后会不会有sid不清楚,没试过,建议按正常操作来)。

4、添加完毕后ok,如果是添加的组,那以后只需要在域控中将要赋予管理员权限的人员加入到组中即可。

5、最后将此策略连接到需要添加管理员账户的ou中,结束。