解决domain users一些程序不能运行问题!
2010-09-01 17:10
问题描述:
  我在本机安装了些程序,为什么用域的用户进去不能运行,但是我用域的管理员的帐户就可以运行,本机当然也可以的,是不是组的策略没有设好? 请大虾来教一下。
参考答案:
  让用户拥有管理权限当然可以,不过这样就大大地不安全了
  你可以这样:
  以域管理身份把域用户加入本地管理组,再以此域用户身份登录并安装程序,此时肯定可以正常运行,然后退出再以域管理身份把此域用户从本地管理组中删除,另加入到本地power users组,这样绝大多数程序都可运行(除了要更改硬件的)
  控制域用户加入或退出该电脑的本地组的方法为:在任一台电脑上以域管理员身份登录桌面,右击我的
电脑,选管理,在计算机管理-系统工具-本地用户和组-组那儿,可以看到有administrators、power users、users三个组,你安装好程序好,把该域用户先加入users组,看其能否运行,不行再加power users组,还不行只好加administrators组了,用户可以任意更改该机设置,有安全隐患。注意,users组的用户不能关机 。如果可行的话,最好加power users组,他的权利相对大些,又不至于关不了电脑。
  当然,最精确的方式是运用系统监控软件,看该程序在运行时读了哪些文件夹、写了哪些文件夹,读写了哪些注册表,读写了哪些系统区的文件,然后根据实际情况有的放矢地在文件夹和组策略里开放权限。不过这样太费事,我一般都是将其加入power users
如何使用脚本将域用户登陆power user本地组
------------
(组策略-登录脚本)
我们有两个问题将面对:
1:如何将domain users 加到客户机本地的power users
大家一般常用的方法是:用管理员帐号登录,然后用lusrmgr.msc-组-power users-添加,熟悉命令的管理员一般用net localgroup "power users" "domainname\domain users" /add来操作。
为什么我的电脑不能关机
2:快速加入
为什么要快速加入呢,当你管理成百上千台电脑时,难道你还能悠闲地跑到对方电脑面前按步就班来操作?等你这样来完成任务时,黄花菜早就凉了。怎么办呢?
以前在DOS下要批量或者自动执行某个命令时,我们喜欢编一个bat文件,比如将要操作的命令写到autoexec.bat里,这样就可以随系统启动自动执行,这次我们可不可以也用bat文件来搞定呢,当然可以,只要将net localgroup "power users" "domainname\domain users" /add加到bat文件里,运行这个bat文件就会将domain users 加到power users中,如何让几百台电脑登录时都来自动执行这个bat文件呢?就要用到下面的组策略有关功能。
我们知道自2K以后的操作系统有了组策略功能(
你不要来说XP HOME怎么没有,存心跟我抬杠是不是),组策略里许多选项使我们只需用鼠标点来点去就可以轻松完成许多复杂的设置,其中的“用户配置-windows设置-脚本-登录”正适合,只要我们将登录脚本设成上面那个bat文件,这样当被设置的该脚本的帐号登录时,就会自动执行net localgroup "power users" "domainname\domain users" /add这条命令。
到了这里,大家似乎觉得问题已经解决了,可以收工,但事实并没有这么简单,为何,因为能成功执行net localgroup "power users" "domainname\domain users" /add这条命令的帐号起码要是power users中的成员,而domain users登录到系统时是本地的users,登录时执行这个脚本将会出现拒绝访问之类的提示。此时问题就开始让人头疼了,我设想过在DC里先将domain users的帐号提升到domain admins,这样用户登录时脚本能成功执行了,但现在用户的权限太大了,慎有不重将会给整个网络带来灾难,如果不给这个权限呢脚本又无法执行,郁闷呀!能不能让用户登录时成功这个执行脚本,又不会对网络带来麻烦或者尽可能地减少潜在的威胁,我想了一个自己认为能接受的方法:
建一个临时的管理员帐号A(要设置帐号A的登录时间和在服务器上的权限,最好在统一使用后将其停用)。给A的登录脚本加两上命令:
copy \\server\admin$\ c:\winnt\system32(如果你系统目录不一至请更改)
net localgroup "power users" "domainname\domain users" /add
shutdown /l
有网友可能就会感到奇怪,你这两条命令是干什么的?第一条是从服务器里将复制到客户机上(服务器系统如果为2003,客户机系统为XP则不必加这条命令了,服务器和客户机均为2K的
话则需要此命令,且还要将XP或者2003中的事先复制到服务器中),第二条就不必说了,第三条意思就是“注销“,将三条命令连起来解释就是:复制然后执行加入组这个命令再强行注销,这样有什么好处呢:
1:成功完成加入组这个命令
2:由于A帐号有管理员权限,它对网络有潜在的危险,不能让下面的用户随便在本地上登录来搞破坏,下面用户用A登录系统时脚本自动执行,达到我的目的后强制注销,此过程只需几秒钟,用户根本无法做其它事系统又重新回到登录界面了。
设置好上面这些后,我们就可以通知下面的客户第一次登录时请用A帐号,当用A帐号登录注销后再用各自的帐号登录,这样客户用自己帐号登录时就已经在本地的power users了,就有一定的权限使用之前无法用的软件,比如:金山词霸之类的了。这里顺便说说通知方法:
1:书面通知
2:域组策略的“交互式登录”文字
(强烈推荐,大致说一下设置:组策略-计算机配置-windows设置-安全选项-交互式登录-用户试图登录时消息....,设置好后,用户每次登录时自动弹出通知)
为了更好的对客户端权限进行管理和控制,我们只赋予终端用户Domain User组的权限。但有些需要Local Administrator权限的软件就无法安装和运行。我目前能想到的办法是:
a.所有软件都安装在固定的Program Files目录,并通组策略赋予Program Files目录Domain Users组完全控制权限
b.通过组策略赋予注册表HKLM_SOFTWARE键Domain Users组完全控制权限
c.通过组策略赋予Domain Users组system32目录完全控制权限
通过以上3个地方的修改,90%的软件都可以正常运行了。对于一些特殊的软件,我们用Filemon和Regmon来进行监控,出所需的文件或注册表值,来适当放开权限。