AD域撤销域用户管理员权限方案

一、简介

　　公司大部分主机加入域已有一段时间了，由于某软件没管理员权限不能执行，所以管理员权限一直没撤销，不能完全实现域的管理效果。但起码实现了域用户脱离不了域的控制：http://www.cnblogs.com/sjy000/p/4713389.html。

　　撤销管理员后，所有用户加入Power Users组，只有主管仍是Administrators组。Power Users组可以正常访问本地所有资源，不能安装软件、修改注册表、修改TCP/IP、修改计算机等。同事修改计算机设置时，向SA申请，SA使用管理员账号登录后修改；安装软件由SA则使用批处理输入程序的完整路径后开始安装，批处理用的是runas命令，让普通用户以管理员的身份执行程序。软件管理方式还可使用域组策略部署。

　　另外还有个域组策略脚本执行身份的问题需解决。域组策略脚本是以登录的用户身份执行的，而用户身份只是属于Power Users组，当脚本的命令涉及修改系统设置，就无法生效了。这时还得使用runas命令解决，让原脚本以管理员身份执行。

二、服务器配置

1、域用户撤销本地管理员，禁止本地用户登录

Administrators组成员设为只有域Domain Admins，Power Users与Users组只有Domain Users。

该设置还有额外的效果加成——本地用户无法登录，因为这些用户不再属于这三个本地组了。

2、在客户端执行一次runas，保存管理员的密码

域TEST.COM，管理员账号administrator。

/savecred选项表示执行一次后保存密码；/noprofile选项表示不加载用户的配置文件，不加该选项部分主机找不到路径

runas /savecred /noprofile /user:TEST\administrator calc.exe

3、runas命令指向域组策略旧的脚本，以管理员身份执行

runas /savecred /noprofile /user:TEST\administrator \\192.168.1.100\bat\old.bat

使用runas后，批处理会弹窗运行，进行下美化。

title XX公司系统管理脚本
color 1F

echo 配置中，请勿关闭...

命令>%temp%\result.tmp
del %temp%\result.tmp
::隐藏执行结果

4、编写批处理，SA运行、安装软件的工具

输入程序完整路径后执行。

@echo off
color 1F
title Administrator

echo.
set /p a=Enter the programme path:
runas /savecred /noprofile /user:TEST\administrator %a%
pause

软件Bat To Exe Converter将批处理转换为exe程序，禁止用户查看命令。

三、客户端测试

1、执行一次runas保存管理员密码

2、尝试修改IP、创建账号、修改系统设置、安装软件

3、尝试旧本地管理员账号登录

4、SA使用批处理帮同事安装软件

本文出自 “运维菜鸟.log” 博客，谢绝转载！