iT邦幫忙

0

關於power user群組的問題

rt788 2009-07-13 22:59:2914323 瀏覽

因為怕使用者亂灌程式,公司長官決定把administrator收回,改用power user,但我發現,
有人改完之後,usb隨身碟不能用,有的人可以正常使用,不曉得是哪邊出了問題,因為電腦數量不少,想利用派送方式,找到這個指令
net localgroup "Administrators" /delete mis888\%username%
net localgroup "Power Users" /add mis888\%username%

這個參數%username%,是不是使用者名稱,然而mis888是不是網域或電腦名稱,我是不是要寫個bat檔,把要改的使用者,都放入bat檔中,請知道大大指點,小弟算是指令新手,
請求幫忙。

2 個回答

26
tom6507
iT邦大師 1 級 ‧ 2009-07-14 07:27:37
最佳解答

mis888是網域名稱
這個網站有圖解:http://blog.pmail.idv.tw/index.php?load=read&id=499

看更多先前的回應...收起先前的回應...
rt788 iT邦新手 5 級 ‧ 2009-07-14 07:29:06 檢舉

%username%這個是不是改成我要設定的使用者名稱。

rt788 iT邦新手 5 級 ‧ 2009-07-14 07:30:07 檢舉

再來就是利用GPO讓USER登入後執行這各批次檔即可完成,他這個是怎麼做的,發文者沒寫。

tom6507 iT邦大師 1 級 ‧ 2009-07-14 07:38:38 檢舉

%username%是網域使用者帳號,所以是跟mis888一起看的
寫成批次檔之後放到GPO的startup script中等待用戶電腦起動後執行就可以了,不過權限生效是在下次登入的時候
http://i629.photobucket.com/albums/uu14/tom6507/2009-07-14\_073557.jpg

rt788 iT邦新手 5 級 ‧ 2009-07-14 10:52:58 檢舉

C:\WINDOWS\SYSVOL\domain\scripts放到這個底下也可以嗎?

tom6507 iT邦大師 1 級 ‧ 2009-07-14 11:01:06 檢舉

應該是要放在類似:\\DomainName\SysVol\DomainName\Policies\{.........}\Machine\Scripts\Startup 或者是:\\DomainName\SysVol\DomainName\Policies\{.......}\User\Scripts\Logon
的目錄下
兩者的不同在於,第一個是電腦啟動後執行,第二個是在用戶登入的時後執行

tom6507 iT邦大師 1 級 ‧ 2009-07-14 11:05:53 檢舉

如果有很多台電腦要執行,確實可以放在AD的C:\WINDOWS\SYSVOL\domain\scripts目錄下,然後利用用戶帳號的"登入指令檔"功能來指定專屬的批次檔

rt788 iT邦新手 5 級 ‧ 2009-07-14 11:12:05 檢舉

@echo off

net use y: \\NVFS01\Employee /PERSISTENT:no

net localgroup "Administrators" /delete luxgen\%print%
net localgroup "Power Users" /add luxgen\%print%

exit
存成.cmd
不曉得這樣寫行不行?

tom6507 iT邦大師 1 級 ‧ 2009-07-14 11:39:14 檢舉

建立多個批次檔,以對應多個使用者帳戶
http://i629.photobucket.com/albums/uu14/tom6507/2009-07-14\_113508.jpg
分別在AD的使用者帳戶中設定批次檔
http://i629.photobucket.com/albums/uu14/tom6507/2009-07-14\_113312.jpg
批次檔的內容則是:
net localgroup "Administrators" /delete luxgen\%user1%
net localgroup "Power Users" /add luxgen\%user1%

rt788 iT邦新手 5 級 ‧ 2009-07-14 11:45:23 檢舉

如果http://i629.photobucket.com/albums/uu14/tom6507/2009-07-14\_113312.jpg
要放入兩個.bat可行嗎能打入user1.bat,user2.bat這樣嗎

tom6507 iT邦大師 1 級 ‧ 2009-07-14 11:59:51 檢舉

為何會要執行兩個?圖二是一個用戶的AD帳號。你要移動computer1的luxgen\user1這個帳號到computer1的本機的Power Users群組,而computer2的用戶帳號應該是luxgen\user2,所以才需要分別使用多個批次檔來執行

你如果已經有其他的批次檔在執行的話,可以合併兩個批次檔來使用

另外,如果把所有要移動的帳號通通寫在一個批次檔內給所有用戶執行的話,用戶在登入的時候就會出現一個dos視窗,裡面不斷跳出錯誤的畫面...

rt788 iT邦新手 5 級 ‧ 2009-07-14 12:09:19 檢舉

批次檔的內容則是:
net localgroup "Administrators" /delete luxgen\%print%
net localgroup "Power Users" /add luxgen\%print%

為什麼登入還是administrator 權限

tom6507 iT邦大師 1 級 ‧ 2009-07-14 12:42:01 檢舉

正確的語法應該是:
net localgroup "Administrators" /delete luxgen\print
net localgroup "Power Users" /add luxgen\print

rt788 iT邦新手 5 級 ‧ 2009-07-14 14:05:10 檢舉

大大還是不行一樣是administrator權限

tom6507 iT邦大師 1 級 ‧ 2009-07-14 14:40:13 檢舉

我測過是可以的,請確認你要移往Power Users群組的帳號是"網域帳號"還是"本機帳號"

rt788 iT邦新手 5 級 ‧ 2009-07-14 15:21:31 檢舉

大大是網域帳號,我在AD裡面有一個print的帳號,我要從local administrator拿掉,
換至local power Users,只是一直成功不了,很傷腦筋。

tom6507 iT邦大師 1 級 ‧ 2009-07-14 15:28:54 檢舉

你的AD網域名稱是:luxgen 嗎?
在Dos模式下輸入:ipconfig /all,其中有一行是Primary Dns Suffix,後面帶的名稱是什麼?

rt788 iT邦新手 5 級 ‧ 2009-07-14 17:40:15 檢舉

luxgen.com.tw
我在local端測的時候,是ok的,但放上去server,就不行。

tom6507 iT邦大師 1 級 ‧ 2009-07-15 07:54:46 檢舉

會不會是權限不足,或是找不到指定的檔案

rt788 iT邦新手 5 級 ‧ 2009-07-16 10:53:03 檢舉

大大,我要如何知道,使用者登入,有讀到那個檔案,哪邊可以看到,或是有log可以看。

rt788 iT邦新手 5 級 ‧ 2009-07-16 10:57:51 檢舉

因為我覺得,使用者登入時,那個bat並沒有執行,才一直沒有反應。

tom6507 iT邦大師 1 級 ‧ 2009-07-16 11:14:18 檢舉

你可以測試,比如說用戶在登入的時候開啟cmd.exe,而這個檔案存放在與批次檔相同的位置
,用戶在開啟cmd.exe之後,最上方就會顯示出server分享的路徑

rt788 iT邦新手 5 級 ‧ 2009-07-16 16:07:01 檢舉

不曉得有沒有圖,可以看,小弟對這比較不熟,謝謝。

tom6507 iT邦大師 1 級 ‧ 2009-07-17 18:45:21 檢舉

測試的方式請看下方的三張圖:
將cmd.exe這個檔案複製到C:\WINDOWS\SYSVOL\domain\scripts目錄中
http://i629.photobucket.com/albums/uu14/tom6507/2009-07-17\_181517.jpg
修改一個網域使用者的帳戶內的登入指定檔
http://i629.photobucket.com/albums/uu14/tom6507/2009-07-17\_181735.jpg
用該使用者的帳戶登入就會看到開啟一個Dos視窗,視窗的最上方有路徑,表示正確執行
http://i629.photobucket.com/albums/uu14/tom6507/2009-07-17\_183743.jpg

另外,如果你要知道你的指令是否有正確執行,可在批次檔的最後一行加上:pause
指令,程式執行完畢就會顯示暫停狀態了。

8
z1013
iT邦新手 4 級 ‧ 2009-07-14 22:54:19

如果是有網域的架構的話,那小弟我有個建議,不知道是否適合大大,
可使用 AD 的群組原則裡的群組原則限制,把你要限制那個Group裡有誰的設定給設定進去,
或是取消刪除,這樣任何人登入套用 Policy 時就會將本機的 Administrators 群組裡的一般員工帳號給拿掉,而把 Domain Users 加入本機的 Power Users,我設定遠端桌面群組時就是這樣設定的,快速又方便,但缺點就是沒辦法針對每台電腦設定單一使用者,如果您想要那台電腦是誰使用,就只把他的帳號加入Power Users,而其它的使用者就是一般 Users 群組,那這樣的設定就不適合你了.

看更多先前的回應...收起先前的回應...
rt788 iT邦新手 5 級 ‧ 2009-07-16 11:03:45 檢舉

因有些高階長官,不需變更,只有員工才需要,利用你這方法,會不會全部的人都變成user。

花輪 iT邦大師 1 級 ‧ 2009-07-16 16:35:19 檢舉

把高階長官與一般USER 分別放在兩個不同的OU,再把兩個OU 的GPO作設定即可(長官的OU不變,USER的OU則照您所說的改權限)!

rt788 iT邦新手 5 級 ‧ 2009-07-24 10:03:42 檢舉

我發現那個bat檔,使用者登入根本沒有執行,不曉得哪邊出了問題?

tom6507 iT邦大師 1 級 ‧ 2009-07-24 10:08:20 檢舉

用戶登入後執行:\\DomainServerName\NETLOGON
可以連上去看到你設定的批次檔嗎?

rt788 iT邦新手 5 級 ‧ 2009-07-27 17:34:31 檢舉

小弟查了之後是有這個.bat檔案,而且我也在AD使用者及電腦裡面的computer,有看到我登入的帳號print,但就是沒去讀這個檔,真的很怪,我又改成這樣做測試,ping www.google.com.tw -t,結果也沒反應。

tom6507 iT邦大師 1 級 ‧ 2009-07-27 17:41:57 檢舉

權限呢?至少要有"執行"的權限

rt788 iT邦新手 5 級 ‧ 2009-07-28 09:47:00 檢舉

tom6507大大,他是在administrators群組裡面,而且我也在server下,下了gpupdate /force指令,還是不行。

tom6507 iT邦大師 1 級 ‧ 2009-07-28 09:49:58 檢舉

gpupdate /force這個指令是用在用戶端的電腦,不是在servr上下的...

rt788 iT邦新手 5 級 ‧ 2009-07-28 10:19:42 檢舉

tom6507大大,謝謝你的指導,那我到底問題是出在哪邊,
真的好奇怪,都不會去讀bat。

tom6507 iT邦大師 1 級 ‧ 2009-07-28 11:10:57 檢舉

你確定你的用戶設定檔沒有錯誤嗎
http://i629.photobucket.com/albums/uu14/tom6507/2009-07-28\_111008.jpg

rt788 iT邦新手 5 級 ‧ 2009-07-28 11:26:54 檢舉

我有確定過,沒錯。

tom6507 iT邦大師 1 級 ‧ 2009-07-28 11:39:26 檢舉

換另一個帳號試看看,我有遇過帳號出問題的,就不會執行登入指令檔,後來是砍掉重建才恢復正常。

rt788 iT邦新手 5 級 ‧ 2009-07-28 13:18:27 檢舉

好我測試看看,另外使用者變power user之後,要執行IBM上面的Diskeeper硬碟重組程式,好像都會說沒有權限,但我也把那個資料夾安全性加入那個使用者,而且權限都有打勾,
但還是不能執行,真的很奇怪。

tom6507 iT邦大師 1 級 ‧ 2009-07-28 13:19:29 檢舉

磁碟重組一定要是administrator的權限

rt788 iT邦新手 5 級 ‧ 2009-07-28 13:29:39 檢舉

那我要怎麼設定,他才能在power user底下使用。

tom6507 iT邦大師 1 級 ‧ 2009-07-28 13:48:38 檢舉

除了admin,無解

rt788 iT邦新手 5 級 ‧ 2009-07-28 14:04:45 檢舉

大大在請教你一個問題,gpupdate /target:computer
這個指令,我gpupdate /target:l08043
l08043是員工編號,我在server上下這指令對嗎?
我希望這l08043馬上可以更新群組員則

rt788 iT邦新手 5 級 ‧ 2009-07-28 14:08:58 檢舉

執行gpedit.msc

本機電腦原則-->電腦設定-->windows設定-->安全性設定-->本機原則-->使

用者權限指派

在右邊的畫面找到"執行磁碟區維護工作"

連點二下,新增使用者或群組 加入了Power Users之群組

這個是我在網路上找到,有人也要設磁碟重組的,使用的方法,但我要加入power users時,根本找不到power users這個群組。

tom6507 iT邦大師 1 級 ‧ 2009-07-28 14:44:25 檢舉

gpupdate /target:{Computer | User}
指定只要更新使用者,還是電腦的原則設定。
預設值是同時更新使用者及電腦的原則設定。
還是要在欲套用的那台電腦上執行,不是在server上執行

在那邊設定磁碟重組是沒有用的,我很久以前就測試過了,只能在本機admin的群組下的帳戶才能執行

rt788 iT邦新手 5 級 ‧ 2009-07-28 16:46:16 檢舉

謝謝大大,但我的login.bat,使用者登入還是不能讀,真是傷腦筋.

tom6507 iT邦大師 1 級 ‧ 2009-07-28 16:51:05 檢舉

換帳號設定登入指令檔也一樣嗎?那新增一個帳號來設定呢?

rt788 iT邦新手 5 級 ‧ 2009-07-28 21:10:03 檢舉

http://a.imagehost.org/view/0205/1\_24
小弟發現一個很有興趣的事情,竟然加了administrators為群組,登入就會執行.bat,或是dnsadmin,也是可以,好怪,但administrators不能亂加,如果都不加這兩個的話,
還能加什麼呀?~~~

rt788 iT邦新手 5 級 ‧ 2009-07-29 18:08:59 檢舉

而且我發現power user不能用dr.eye8.1,他會顯示open db fail錯誤。
登入也會出現0xc0000142錯誤。

tom6507 iT邦大師 1 級 ‧ 2009-07-30 07:21:43 檢舉

=.=
你之前不就是說print這個帳號在本機是adminstrator嗎,那它應該也在administrators群組內才對啊

把dr.eye的目錄權限調整一下(記得要勾選包含子目錄與檔案),讓power users擁有較大的權限看看

rt788 iT邦新手 5 級 ‧ 2009-07-30 22:05:29 檢舉

dr.eye的資料夾我已經調整過他的權限,像是那位使用者我已打勾完全控制,但登入後還是會有open db fail。

我要發表回答

立即登入回答