我应该如何从没有 Active Directory 的管理员组中删除用户？

Question

背景：我是一个新的初级系统管理员，我继承了一个由大约 12 台 Windows 机器、生产和备份文件服务器以及一个 sql 服务器组成的小型办公室工作组。文件服务器上的所有用户帐户都是管理员组的成员。我意识到这会造成一个漏洞。此外，黄铜希望文件服务器上的某些目录禁止一般用户使用。

如何将我的用户从 Administrators 组中删除，并将他们放入两层常规帐户，避免不便、生产停机等？

如果可行，我完全支持自动化，所以我不害怕在 .bat 文件或 powershell 中编写脚本，尽管我的 powershell 生锈了，而我的 .bat 脚本编写也很烂。

Answer 1

您应该设置一个域。

• 严重地。我不想在没有域（Active Directory）的情况下管理 3 台 Windows 计算机，更不用说十二台了。
• 如果高层想要限制某些目录的访问级别，以可管理的方式这样做的唯一方法是使用 Active Directory，即使对于“只有 12”台机器/用户也是如此。
• 对您个人而言也是最佳选择。“管理一堆工作组计算机”是简历中的一句废话。相比之下，“为 [公司] 创建、配置和管理新的 Windows 活动目录域”是简历上的一个不错的项目。

假设您无法设置域（和 Server 2003），我的首选将是 psexec，它是 SysInternals Suite 的一部分，用于进行远程连接，然后使用 NET USER 和 NET GROUP 命令进行实际添加。这将允许您进行更改而不会将人们从计算机上敲下来，如下所示。

1. 下载 SysInternals 套件。
2. 打开命令行（cmd.exe）
3. 连接到要在其上进行更改的计算机
   • psexec \\thecomputeryouwanttomakechangeson\ cmd
4. 执行所需的 NET USER 或 NET GROUP 命令。
   • NET LOCALGROUP Administrators someuser /ADD
   • NET LOCALGROUP Administrators someotheruser /DEL
   • 提供的链接有更好的示例和完整的语法，请记住您正在使用LOCALGROUP，LOCALUSER在这种情况下..

Answer 2

您可以通过以下方式获取当前在管理员组中的用户列表：

net localgroup administrators > userlist.txt

然后，您可以将来自该输出的用户拆分为 tier1 和 tier2 列表并循环访问这些列表。

$tier1file="c:\path\to\tier1users.txt" 
$tier2file="c:\path\to\tier2users.txt"

foreach ($user in get-content $tier1file)
{
    net localgroup administrators $user /del
    net localgroup tier1 $user /add
}

foreach ($user in get-content $tier2file)
{
    net localgroup administrators $user /del
    net localgroup tier2 $user /add
}

或类似的东西。

如果所有机器都设置相同，您可能会比这更漂亮，但没有 AD 的机器通常不相同。