在 Windows 中将域用户添加到本地管理员组

若要向技术支持人员、技术支持团队、某些用户和其他特权帐户授予域计算机上的本地管理员权限，必须将必要的 Active Directory 用户或组添加到服务器或工作站上的本地管理员组。在本文中，我们将介绍如何手动和通过 GPO 管理域计算机上本地 Administrators 组的成员。

手动将用户添加到本地管理员组

为用户或组授予特定计算机上的本地管理员权限的最简单方法是使用图形“本地用户和组”管理单元 （） 将其添加到本地管理员组。lusrmgr.msc

将计算机加入 AD 域时，域管理员组会自动添加到计算机的本地管理员组，域用户组将添加到本地用户组。

单击“添加”按钮，然后指定要授予本地管理员权限的用户、组、计算机或服务帐户 （gMSA） 的名称。使用“位置”按钮，可以在域中或本地计算机上搜索主体之间切换。

使用本地用户和组控制台 （lusrmgr.msc） 手动将用户添加到 Windows 中的 Admiinstrators 组

还可以使用命令提示符显示具有本地计算机管理员权限的用户列表：

net localgroup administrators

可以使用以下 PowerShell 命令获取本地组中的用户列表：

Get-LocalGroupMember administrators

此命令显示已授予管理员权限的对象类（ObjectClass = 用户、组或计算机）和帐户或组的源（ActiveDirectory、Azure AD、Microsoft 或本地）。

列出具有 PowerShell 的本地管理员组成员身份

要将域组 munWksAdmins（或用户）添加到本地管理员，请运行以下命令：

net localgroup administrators /add munWksAdmins /domain

使用 PowerShell，可以将用户添加到管理员，如下所示：

Add-LocalGroupMember -Group Administrators -Member ('woshub\j.smith', 'woshub\munWksAdmins','wks1122\user1') –Verbose

使用 PowerShell 将域用户添加到本地管理员

在此示例中，我们将 woshub 域中的用户和组以及本地用户 wks1122\user1 添加到计算机管理员。

您可以同时将用户添加到多台计算机上的管理员组。在这种情况下，可以使用 PowerShell 远程处理中的 Invoke-Command cmdlet 通过网络访问远程计算机：

$WKSs = @("PC001","PC002","PC003")
Invoke-Command -ComputerName $WKSs –ScriptBlock {Add-LocalGroupMember -Group Administrators -Member woshub\munWksAdmins'}

您还可以完全拒绝向域用户或组提供任何管理员权限。在这种情况下，您可以使用内置的本地管理员和存储在 Active Directory 中的密码（使用本地管理员密码解决方案/LAPS 实现）在用户计算机上执行一次性管理任务。

在 Active Directory 域环境中，最好使用组策略授予域计算机上的本地管理员权限。这比手动将用户添加到每台计算机上的本地管理员组要简单、方便和安全得多。可以使用两个组策略选项来管理域计算机上的管理员组：

• 使用组策略首选项管理本地组成员身份;
• 使用受限组 GPO 功能将用户添加到本地组。

如何通过组策略首选项将域用户添加到本地管理员？

组策略首选项 （GPP） 提供了通过 GPO 授予域计算机上的本地管理员权限的最灵活、最方便的方法。

假设您的任务是将特定 Active Directory OU（组织单位）中计算机上的本地管理员权限授予技术支持团队组。使用 PowerShell 在域中创建新的安全组，并将支持团队帐户添加到其中：

New-ADGroup munWKSAdmins -path 'OU=Groups,OU=Munich,OU=DE,DC=woshub,DC=com' -GroupScope Global –PassThru
Add-AdGroupMember -Identity munWKSAdmins -Members amuller, dbecker, kfisher

打开域组策略管理控制台 （），创建一个新策略 （GPO） AddLocaAdmins 并将其链接到包含计算机的 OU（在我的示例中，它是“OU=Computers，OU=Munich，OU=DE，DC=woshub，DC=com”）。GPMC.msc

1. 编辑您之前创建的 AddLocaAdmins GPO;
2. 转到以下 GPO 部分：计算机配置 –> 首选项 –> 控制面板设置 –> 本地用户和组;
3. 添加新规则（新建 -> 本地组);

组策略首选项管理本地组

1. 在作字段中选择更新（这是一个重要的选项！
2. 在组名称下拉列表中选择管理员（内置）。即使此组已在计算机上重命名，这些设置也将通过其 SID 应用于本地管理员组 (S-1-5-32-544);
3. 单击“添加”按钮，然后选择要添加到本地管理员组的组（在本例中，这是 munWKSAdmins);您可以从所有计算机上的本地管理员中删除所有手动添加的用户和组。选中“删除所有成员用户”和“删除所有成员组”选项。在大多数情况下，这是合理的，因为您保证只有已批准的域组才具有域计算机的管理员权限。如果使用“本地用户和组”管理单元手动将用户添加到管理员组，则下次应用策略时将自动删除该用户。

使用 GPO 将域用户组添加到本地管理组

1. 保存策略并等待将其应用于客户端工作站。若要立即应用组策略设置，请在用户的计算机上运行此命令;gpupdate /force
2. 在任何域计算机上打开管理单元，并检查本地管理员组成员。只有 munWKSAdmins 组应该添加到这个组中，而其他用户和组将被删除（内置的 Windows 管理员帐户除外）。lusrmgr.msc

如果未在域计算机上应用策略，请使用 gpresult 命令对生成的 GPO 设置进行故障排除。此外，请确保计算机位于 GPO 链接到的 OU 中，并检查“为什么组策略未应用于计算机？”一文中的建议。

使用 GPO 将单个用户添加到特定计算机上的本地管理员组

有时您可能需要授予单个用户特定计算机的管理员权限。例如，您有多个开发人员需要不时提升的权限来测试驱动程序、调试或在其计算机上安装它们。将他们添加到对所有域计算机具有权限的工作站管理员组是不合理的。

可以使用 GPO WMI 筛选器或项级目标来授予特定计算机上的本地管理员权限。

在之前创建的 AddLocalAdmins 策略的 GPO 首选项部分（“计算机配置”->“首选项”->“控制面板设置”->“本地用户和组”） 中创建一个新条目：

1. 行动：Update
2. 组名：Administrators (Built-in)
3. 描述： “”Add amuller to the local administrators on the mun-dev-wsk21 computer
4. 成员：添加 ->amuller

使用组策略首选项将用户用户添加到本地管理员组

1. 在“通用 -> 目标”选项卡中，指定以下规则：“”这意味着此组策略项将仅应用于此处指定的计算机。the NETBIOS computer name is mun—dev-wks24.

GPO：仅在特定计算机上添加本地管理员权限

此外，请注意在计算机上应用组成员身份的顺序（“GPP”列）。本地组成员身份从上到下应用（从策略开始）。Order Order 1

第一个 GPP 策略选项 （具有上述“删除所有成员用户”和“删除所有成员组” 设置） 从本地管理员组中删除所有用户/组，并添加指定的域组。然后应用其他特定于计算机的策略，将指定用户添加到本地管理员。如果要更改管理员组中的成员身份顺序，请使用 GPO 编辑器控制台顶部的按钮。

使用受限组 GPO 管理本地管理员

受限组策略还允许将域组/用户添加到计算机上的本地安全组。这是一种授予本地管理员权限的较旧方法，现在使用频率较低（它不如上述组策略首选项方法灵活）。

1. 打开 GPO;
2. 展开“计算机配置”-“>策略”->“安全设置”->“受限组”部分;
3. 在上下文菜单中选择添加组;

GPO 受限组策略

1. 在下一个窗口中，键入管理员，然后单击确定;

GPO：添加到本地管理员

1. 单击“此组的成员”部分中的“添加”，并指定要添加到本地管理员的组;

为域组配置管理员的成员身份

1. 保存更改，将策略应用于用户的计算机，并检查本地管理员组。它必须仅包含您在策略中指定的组。这些组策略设置始终 （！） 删除本地 Administrators 组的所有现有成员 （由其他策略或脚本手动添加） 。

如果需要保留 Administrators 组的当前成员身份，并使用受限组 GPO 向其添加其他组 （用户） ，则需要：

1. 在受限组中创建一个新条目，然后选择要添加到本地管理员的 AD 安全组 （!!）;

使用 GPO 将域安全组添加到本地 Windows 管理员

1. 然后在“此组是成员”部分中添加管理员;

将其他域组添加到具有受限组 GPO 的本地管理员

1. 更新客户端上的 GPO 设置，并确保域组已添加到本地管理员组。在这种情况下，本地组中的当前主体保持不变（未从组中删除）。

在文章的最后，我将留下一些关于管理 Active Directory 计算机和服务器上的管理员权限的建议。

Microsoft 的经典安全最佳做法建议使用以下组来分隔 AD 域中的管理员权限：

1. 域管理员仅用于域控制器;从特权管理员帐户的安全角度来看，不建议在具有域管理员权限的帐户下的工作站和服务器上执行日常管理任务。这些帐户只能用于 AD 管理任务（添加新域控制器、复制管理、Active Directory 架构修改等）。大多数用户、计算机或 GPO 管理任务必须委派给常规管理员帐户 （没有域管理员权限） 。请勿使用域管理员帐户登录到域控制器以外的任何工作站或服务器。
2. Server Admins 是一个允许管理 AD 域中的 Windows Server 主机的组。不得是工作站上 Domain Admins 组或本地 Administrators 组的成员;
3. 工作站管理员是一个仅用于在工作站上执行管理任务的组。不得是 Domain Admins 和 Server Admins 组的成员;
4. 域用户是执行典型办公作的常用用户帐户。他们不得对服务器或工作站具有管理员权限;
5. 不建议将单个用户帐户添加到本地管理员组。最好使用域安全组。在这种情况下，要向下一位技术支持员工授予管理员权限，只需将他添加到域组（无需编辑 GPO）。