您可以使用“ GPO”（组策略）将Active Directory用户和组添加到加入域的服务器和工作站上的本地“管理员”组中。这使您可以将域计算机上的本地管理员特权授予技术支持人员，HelpDesk团队，特定用户或者其他特权帐户。在本文中，我们将展示如何使用GPO在域计算机上管理本地Administrator组的成员。

Active Directory域中的本地管理员组

当您将计算机加入AD域时，“域管理员”组会自动添加到本地“管理员”组中，而“域用户”组会添加到本地“用户”组。

在计算机上授予本地管理员特权的最简单方法是使用“本地用户和组”管理单元（

lusrmgr.msc

）将用户或者组添加到本地安全组“管理员” 。但是，如果有很多计算机，并且某些时候不需要的人可能会保留特权组的成员，则此方法不方便。如果您使用这种授予本地特权的方法，则不方便地控制每台域计算机上的本地管理员组的成员。

Microsoft建议使用以下组来分隔AD域中的管理权限：

“域管理员”仅在域控制器上使用；从特权管理员帐户的安全角度考虑，建议不要在具有Domain Admin特权的帐户下在工作站和服务器上执行日常管理任务。这些帐户必须仅用于AD管理（添加新的域控制器，复制管理，Active Directory架构修改等）。必须将大多数用户，计算机或者GPO管理任务委派给常规管理员帐户（无Domain Admin权限）。不要使用Domain Admin帐户登录到域控制器以外的任何工作站或者服务器。

“服务器管理员”是一个允许管理域成员服务器的组。它不能是您工作站上的Domain Admins组或者本地Administrators组的成员。

“ Workstation Admins”是仅用于在工作站上执行管理任务的组。不能是Domain Admins和Server Admins组的成员；

“域用户”是执行典型办公室操作的普通用户帐户。他们在服务器或者工作站上不得具有任何管理员特权。

您也可以完全拒绝向域用户或者组提供任何管理员特权。在这种情况下，内置的本地Administrator帐户以及存储在AD中的密码（基于LAPS）用于在工作站上执行管理任务。

假设您要向技术支持人员和HelpDesk员工组授予特定OU中计算机的本地管理员特权。使用PowerShell在您的域中创建一个新的安全组并向其添加技术支持帐户：

New-ADGroup munWKSAdmins -path 'OU=Groups,OU=Munich,OU=DE,DC=theitroad,DC=com' -GroupScope Global –PassThru
Add-AdGroupMember -Identity munWKSAdmins -Members amuller, dbecker, kfisher

打开域组策略管理控制台（

GPMC.msc

），创建一个新策略（GPO）AddLocaAdmins并将其链接到包含计算机（在我的示例中为“ OU = Computers，OU = Munich，OU = DE，DC = theitroad，DC = com”）。

AD组策略提供了两种方法来管理域计算机上的本地组。让我们依次研究它们：

使用组策略首选项进行本地组管理；

受限制的团体。

##如何通过GPO首选项将域用户添加到本地管理员？

组策略首选项（GPP）提供了最灵活，最方便的方式，可以通过GPO向域计算机授予本地管理员特权。

在“编辑”模式下打开您先前创建的* AddLocaAdmins * GPO；

转到以下GPO部分：“计算机配置–>首选项–>控制面板设置–>本地用户和组”；

添加一个新规则（New->Local Group）；

在“操作”字段中选择“更新”（这是一个重要选项！）；

在“组名”下拉列表中，选择“管理员（内置）”。即使该组已在计算机上重命名，设置也会通过其SID（

S-1-5-32-544

）应用于本地Administrators组

。

单击“添加”按钮，然后选择要添加到本地管理员组的组（在本例中为munWKSAdmins）；如果要从当前的本地Admins组中删除手动添加的用户和组，请选中“删除所有成员用户”和“删除所有成员组”选项。在大多数情况下，这是合理的，因为您可以保证只有分配的域组才对域计算机具有管理员权限。然后，如果使用“本地用户和组”管理单元将用户手动添加到Administrators组，则下次应用该策略时，该用户将被自动删除。

保存该策略，然后等待其在工作站上应用。要立即应用该策略，请 在用户计算机上运行此命令

gpupdate /force

；否则，请执行以下 操作。

在任何计算机上

lusrmgr.msc

，然后检查本地Administrators组成员。仅munWKSAdmins组将被添加到该组，而其他用户和组将被删除。您可以使用以下命令显示本地管理员的列表：

net localgroup Administrators

如果该策略尚未在域计算机上应用，请使用gpresult命令来诊断问题。还要确保计算机位于GPO链接到的OU中，并检查“组策略对象未应用于计算机”一文中的建议。

您可以使用GPO WMI过滤器或者“项目级定位”为目标特定计算机上的策略配置其他（粒度）条件。

在第二种情况下，转到“通用”标签，然后检查“物品级定位”。点击“定位”。您可以在此处指定应用策略的条件。例如，我希望将添加管理员组的策略仅应用于Windows 10计算机，该计算机的NetBIOS / DNS名称不包含

adm

。您可以使用自己的过滤选项。

不建议将单个用户帐户添加到此策略。最好使用域安全组。在这种情况下，向其他技术支持员工授予管理员特权，只需将其添加到域组中即可（您无需编辑GPO）。

使用受限组管理本地管理员组

“受限组”策略还允许将域组/用户添加到计算机上的本地安全组。它是一种授予本地管理员特权的较旧方法，并且现在使用的频率越来越低（它比“组策略首选项”方法的灵活性更差）。

在编辑模式下打开一个GPO；

展开“计算机配置->策略->安全设置->受限组”部分；

在上下文菜单中选择“添加组”；

在下一个窗口中，键入“ Administrators”，然后单击“确定”。

在“该组成员”部分中单击“添加”，然后指定要添加到本地管理员的组；

保存更改，将策略应用于用户计算机，然后检查本地“管理员”组。它必须仅包含您在策略中指定的组。

此策略始终（！）删除本地管理员组的所有其他成员（手动添加，或者使用其他策略或者脚本添加）。如果具有“受限制的组”设置的多个策略对于计算机是活动的，则仅应用最后一个策略。您可以通过首先将munWKSAdmins组添加到“受限制的组”，然后将该组添加到“管理员”组来绕过此限制。

使用GPO将单个用户添加到特定计算机上的本地管理组

有时，您可能需要向单个用户授予特定计算机上的管理员权限。例如，您有几个开发人员，他们不时需要提升的权限来测试驱动程序，在其计算机上调试或者安装它们。建议不要将它们添加到所有计算机上的工作站管理员组中。

要授予特定计算机上的本地管理员特权，您可以使用以下方案：

在先前创建的 AddLocalAdmins策略的GPO首选项部分（计算机配置–>首选项–>控制面板设置–>本地用户和组）中，右键单击具有以下设置的Administrators组的新条目：

“ Action”：

Update

“ Group Name”：

Administrators (Built-in)

“ Description”：“

Add amuller to the local administrators on the mun-dev-wsk21 computer

“

Members：添加- >

amuller

在Common- >Targeting选项卡，指定此规则：”

the NETBIOS computer name is   **mun—dev-wks24.** 

。“这意味着到计算机指定位置这一政策将仅应用于

同时，要注意组在计算机上的应用顺序（

Order

GPP列）本地组设置从上到下（从

Order 1

策略开始）应用。

第一个GPP策略（如上所述，具有“删除所有成员用户”和“删除所有成员组”设置）从本地管理员组中删除所有用户/组，并添加指定的域组。然后，将应用将特定用户添加到本地管理员的其他特定于计算机的策略。如果要更改管理员组中的成员资格顺序，请使用GPO编辑器控制台顶部的按钮。