使用组策略首选项
可以使用组策略首选项为 Active Directory 用户或组以及指定 OU 中的所有计算机对象授予本地管理员权限。Active Directory 用户或组必须存在才能向其授予本地管理员权限。要使用组策略首选项,需要先执行以下操作:
-
获取对已加入域的计算机或 EC2 实例的访问权限。
-
安装组策略管理控制台(GPMC) MMC 管理单元。有关更多信息,请参阅 Microsoft 文档中的安装或删除适用于 Windows 7 的远程服务器管理工具
。 -
以有权创建组策略对象 (GPO) 的域用户身份登录。将 GPO 链接到相应 OU。
使用组策略首选项授予本地管理员权限
-
在您的目录中或域控制器上,以管理员身份打开命令提示符,键入
gpmc.msc,然后按 Enter。 在左侧控制台树中,选择将在其中创建新 GPO 的 OU,或使用现有 GPO,然后执行以下任一操作:
通过打开上下文 (右键单击) 菜单并选择在此域中创建 GPO,在此处链接来创建新的 GPO。对于 Name,为该 GPO 提供一个描述性名称。
选择现有 GPO。
-
打开 GPO 的上下文菜单并选择编辑。
-
在控制台树中,依次选择 Computer Configuration (计算机配置)、Preferences (首选项)、Windows Settings (Windows 设置)、Control Panel Settings (控制面板设置) 和 Local Users and Groups (本地用户和组)。
-
选择 Local Users and Groups (本地用户和组),打开上下文菜单,选择 New (新建)、Local Group (本地组)。
-
对于 Action,选择 Update。
-
对于 Group name,选择 Administrators (built-in)。
-
在成员下,选择添加… 并指定 Active Directory 用户账户或组,以便为其分配流实例的本地管理员权限。对于 Action,选择 Add to this group,然后选择 OK。
-
要将此 GPO 应用于其他 OU,请选择其他 OU,打开上下文菜单,然后选择 Link an Existing GPO (链接现有 GPO)。
-
使用在步骤 2 中指定的新的或现有的 GPO 名称,滚动查找 GPO,然后选择 OK (确定)。
-
对应具有此首选项的其他 OU 重复步骤 9 和 10。
-
选择 OK (确定) 以关闭 New Local Group Properties (新建本地组属性) 对话框。
再次选择 OK (确定) 以关闭 GPMC。
要将新首选项应用于 GPO,必须停止并重新启动正在运行的任何映像生成器或实例集。对于在步骤 8 中指定的 Active Directory 用户和组,将自动为它们授予对 GPO 链接到的 OU 中的映像生成器和实例集的本地管理员权限。
