问:您认为以下情况是提供本地管理员权限的安全可行的选择吗?我正在考虑建立一个域全局安全组,包括需要本地管理员权限的用户。然后,我将使用登录脚本创建一个GPO,并将其分配给域全局安全组(而不是OU)。然后,该脚本将域全局安全组链接到用户计算机的本地管理员组。你认为这能实现吗?有更安全的方法吗?
答:通过你的问题,我可以知道你正在花时间考虑如何使用组策略来授予本地管理员访问权限。我看不出你的计划有什么问题。
我认为使用GPO可以实现这项工作。GPO旨在避免具有相似访问请求的用户不在目录的同一个组织单位(OU)中的情况。正如您所说,一旦您为GPO设置了域全局安全组,它就可以链接到包含管理员用户对象的站点、域和ou。然后,GPO脚本将链接到用户计算机上的本地管理员组。完全可以实现。