iT邦幫忙

0

分享:這台電腦只能給某個人用,其他人無法登入,且這個人在該電腦有最高權限.

記得曾經看過有人有這個需求:讓這台電腦只能給某個人用,其他人無法登入,並且給予這個人在該電腦有最高權限.
我寫成script 給有需要的人用

@echo off
chcp 65001
@echo off
:menu
cls
echo.
echo  ====================================
echo.      
echo    
echo.
echo  ====================================
echo.
set /p account="請輸入domain帳號: "

rem 檢查有沒有這個帳號
wmic useraccount where (name='%account%' and domain='testdomain') get SID | findstr /b S-  > tmp.txt
set /p aa=<tmp.txt

findstr "\<S" tmp.txt
if errorlevel 1 goto p1
if errorlevel 0 goto p2

:p1
cls
echo.
echo    *******************************
echo    *                             *
echo    *   輸入錯誤,請重新輸入帳號! *
echo    *                             *
echo    *******************************
echo.
echo.
pause
goto menu

:p2
rem disable local administrator 帳號 
net user administrator /active:no
net user guest /active:no

rem 新增一個testadmin帳號,取代administrator,並把輸入的帳號加入administrators群組
net localgroup administrators testadmin /add
net localgroup users testadmin /add
net localgroup administrators %account%  /add   

rem 把sid加入到 rr.inf
echo [version] >> rr.inf
echo signature="$CHICAGO$" >> rr.inf

rem 把administrator、domain admin、testadmin及輸入的帳號放到本機群組原則中的"電腦設定/Windows設定/安全性設定/本機原則/使用者權限指派/允許本機登入"
echo [Privilege Rights] >> rr.inf
echo SeInteractiveLogonRight = *%aa%,*S-1-5-21-3681503898-3011527370-457787210-512,testadmin,*S-1-5-32-544  >> /rr.inf

rem 執行seceidt 把帳號寫入本機登入
secedit /configure /db rr.sdb /cfg rr.inf /log rr.log

del rr.*
del tmp.txt

rem 重建testadmin,並手動輸入密碼
net localgroup administrators testadmin /delete
net user testadmin /delete
net user testadmin * /add /passwordchg:no
net localgroup administrators testadmin /add
wmic useraccount where name='testadmin' set passwordexpires=false

pause

尚未有邦友留言

立即登入留言