域组策略脚本执行身份

转自：http://blog.chinaunix.net/uid-117158-id-153318.html

 

Tom Zhang 张一平 在线技术支持工程师 微软全球技术支持中心

各位，net  user %username% administrators /add 这个脚本会无法执行的。
因为要想加入本地管理员组，就需要管理员权限，也就是说只能用计算机登录脚本在用户登录之前执行
但此时用户还没有登录，根本无从获取 %username%变量。
登录之后，倒是获取到 %username%变量了，但普通的users权限是不能添加管理员群组账户的。这个问题的解决方法，有二
要不，用runas，使用管理员账户在用户登录之后添加，但将管理员账户和密码写在脚本里非常不安全。
要不，就是只能做计算机启动脚本，将domain users这个组添加到本地管理员群组中去。但又会让
所有域用户都可以在域中任何一台电脑上，执行管理员权限，这样做也不安全。

用户之所以有这样的需求，其实是为了避免用户操作或者客户端软件在域环境中遭遇的权限限制问题，
如果说用户这么做只是暂时的权益之计，尚可，否则就是与活动目录的宗旨背道而驰！

最终的解决方法还是要解决用户在域中所遇到的问题，例如软件权限限制问题的解决方法可以参考