问:您认为以下情形是提供给本地管理员权限的一个安全可行的选择吗?我正在考虑建立一个域全局安全组,包括需要本地管理员权限的用户。然后,我再创建一个有登录脚本的GPO,分配给域全局安全组(而不是给OU)。然后,该脚本链接域全局安全组到用户计算机的本地管理员组上。你认为这可以实现吗?有没有更安全的方法呢?
答:通过你的问题,我可以了解到你在花时间思考如何利用组策略来给本地管理员访问权限。我没有看出您的方案有什么错误。
我认为使用GPO可以实现这项工作。GPO旨在避免以下这种情况的发生,即具有类似访问请求的用户不在目录的同一组织单位(OU)中。正如你所说,一旦你给GPO设置了域全局安全组,它就可以被链接到包含管理员用户对象的站点、域和OU。然后,GPO脚本将链接到用户计算机上的本地管理员组。它完全可以实现。