我們在變更(授予)使用者在本機的權限時,一般的做法是到『控制台-->系統管理工具-->電腦管理-->本機使用者和群組』或『控制台-->使用者帳戶』處理;但現實情況往往不會是那麼單純。要是當需要變更的數量太多,或者不允許直接操作使用者電腦時呢?此時可以使用Windows內建的指令來達成此目的。
指令說明:
NET LOCALGROUP [groupname] [/add | /delete] [domain\username]
若在『NET LOCALGROUP』之後不加任何群組名稱及參數,會列出該PC所有的群組。
若在『NET LOCALGROUP』之後只接特定群組名稱,則會列出隸屬該群組的所有帳號。
domain\username 若要修改『網域帳號或群組』在本機的權限,前面需加入實際的網域名稱。
/add 增加帳號至特定群組。
/delete 自特定群組刪除某帳號。
進階應用:
假設所有Domain Users在本機都擁有『Administrators』權限,若要將所有Domain Users都降至Local 『Users』權限,可在DC的『NETLOGON』批次檔新增下列的命令,讓User登入網域時自動執行,進到而達到自動變更權限的目的。
net localgroup "Administrators" /delete domain\%username%
net localgroup "Users" /add domain\%username%
備註:
01.第一行指令:移除該Domain User的Local Administrator權限
02第二行指令:將該Domain User加入Local Users群組
03.以上的『domain』套用實際環境的網域名稱
沒有留言:
張貼留言