問：您認(rèn)為以下情形是提供給本地管理員權(quán)限的一個(gè)安全可行的選擇嗎？我正在考慮建立一個(gè)域全局安全組，包括需要本地管理員權(quán)限的用戶。然后，我再創(chuàng)建一個(gè)有登錄腳本的GPO，分配給域全局安全組（而不是給OU）。然后，該腳本鏈接域全局安全組到用戶計(jì)算機(jī)的本地管理員組上。你認(rèn)為這可以實(shí)現(xiàn)嗎？有沒有更安全的方法呢？

答：通過你的問題，我可以了解到你在花時(shí)間思考如何利用組策略來給本地管理員訪問權(quán)限。我沒有看出您的方案有什么錯(cuò)誤。

我認(rèn)為使用GPO可以實(shí)現(xiàn)這項(xiàng)工作。GPO旨在避免以下這種情況的發(fā)生，即具有類似訪問請求的用戶不在目錄的同一組織單位（OU）中。正如你所說，一旦你給GPO設(shè)置了域全局安全組，它就可以被鏈接到包含管理員用戶對象的站點(diǎn)、域和OU。然后，GPO腳本將鏈接到用戶計(jì)算機(jī)上的本地管理員組。它完全可以實(shí)現(xiàn)。

【編輯推薦】

1. 使用低權(quán)限Oracle數(shù)據(jù)庫賬戶得到管理員權(quán)限
2. Vista安全：快速以管理員權(quán)限打開命令行窗口