我应该如何从没有 Active Directory 的管理员组中删除用户?

lut*_*tze 6 windows windows-server-2003 workgroup

背景:我是一个新的初级系统管理员,我继承了一个由大约 12 台 Windows 机器、生产和备份文件服务器以及一个 sql 服务器组成的小型办公室工作组。文件服务器上的所有用户帐户都是管理员组的成员。我意识到这会造成一个漏洞。此外,黄铜希望文件服务器上的某些目录禁止一般用户使用。

如何将我的用户从 Administrators 组中删除,并将他们放入两层常规帐户,避免不便、生产停机等?

如果可行,我完全支持自动化,所以我不害怕在 .bat 文件或 powershell 中编写脚本,尽管我的 powershell 生锈了,而我的 .bat 脚本编写也很烂。

Hop*_*00b 12

您应该设置一个域。

  • 严重地。我不想在没有域(Active Directory)的情况下管理 3 台 Windows 计算机,更不用说十二台了。
  • 如果高层想要限制某些目录的访问级别,以可管理的方式这样做的唯一方法是使用 Active Directory,即使对于“只有 12”台机器/用户也是如此。
  • 对您个人而言也是最佳选择。“管理一堆工作组计算机”是简历中的一句废话。相比之下,“为 [公司] 创建、配置和管理新的 Windows 活动目录域”是简历上的一个不错的项目。

假设您无法设置域(和 Server 2003),我的首选将是 psexec,它是 SysInternals Suite 的一部分,用于进行远程连接,然后使用 NET USER 和 NET GROUP 命令进行实际添加。这将允许您进行更改而不会将人们从计算机上敲下来,如下所示。

  1. 下载 SysInternals 套件。
  2. 打开命令行(cmd.exe)
  3. 连接到要在其上进行更改的计算机
    • psexec \\thecomputeryouwanttomakechangeson\ cmd
  4. 执行所需的 NET USER 或 NET GROUP 命令。

  • @lutze 虽然你应该尽可能避免它,但 DC 角色通常可以在提供其他服务的同一系统上。例如,一个基本的文件服务器通常不会有任何问题,例如也是 DC。如果您获得了正确的 Windows Server 许可,您应该已经获得了使用域的许可。 (3认同)
  • +1,即使我将问题回答为“没有 AD”。有一次我有 30 多台没有 AD 的服务器,所以我感受到了 OP 的痛苦。 (2认同)
  • @KatherineVillyard 是的,我看到并相应地给了你一些赞许。当然,我的答案的第二部分还包括有关如何在没有 AD 的情况下做到这一点的信息,但是如果我不首先包括正确的做法,我将无法在早上尊重自己。:) (2认同)
  • @lutze 因为 Zordache 击败我说,您可以在 Windows Server 的任何副本上运行域控制器(从而拥有域)。但是,如果第一个出现故障,使用专用服务器作为域控制器和辅助 DC 使您远离地狱,这是额外成本发挥作用的地方,并且许多较小的商店认为这是不值得的钱。(即使可能是,当您考虑技术人员的成本时,但我离题了。) (2认同)

Kat*_*ard 7

您可以通过以下方式获取当前在管理员组中的用户列表:

net localgroup administrators > userlist.txt
Run Code Online (Sandbox Code Playgroud)

然后,您可以将来自该输出的用户拆分为 tier1 和 tier2 列表并循环访问这些列表。

$tier1file="c:\path\to\tier1users.txt" 
$tier2file="c:\path\to\tier2users.txt"

foreach ($user in get-content $tier1file)
{
    net localgroup administrators $user /del
    net localgroup tier1 $user /add
}

foreach ($user in get-content $tier2file)
{
    net localgroup administrators $user /del
    net localgroup tier2 $user /add
}
Run Code Online (Sandbox Code Playgroud)

或类似的东西。

如果所有机器都设置相同,您可能会比这更漂亮,但没有 AD 的机器通常不相同。

  • 我认为这里的问题不一定是将用户分成组,而是确保他们在此转换期间对文件服务器拥有必要的权限……这需要知道用户此时需要访问的位置并分配共享/ ntfs 相应地烫发。但是 OP 可以在一个周末轻松完成此操作,而只有 12 个用户需要与之抗衡。 (2认同)
  • @TheCleaner 就此而言,可以在白天完成在文件服务器上分配 NTFS 权限,而不会造成 [不​​必要的] 中断。我一直这样做,只有在我犯了错误并且不小心拒绝访问错误的位置或用户时才会收到投诉……但无论您是否在非工作时间这样做,这都会导致问题。如果您必须在无法处理并发 RDP 会话的客户端操作系统上使用 GUI,那么唯一担心会干扰用户的问题是登录工作站以更改组成员身份。 (2认同)