網域帳號(群組)加入本機群組

前些日子,與景盛( arman )聊到有關網域控管的問題
因為有些老師們難免要安裝軟體、印表機...等,不太可能在網域中只使用Domain User的權限
但是如果將之歸於 Domain Admin 的群組,則好像又有點過頭了



因為這樣老師們的帳號,不但可以自由加入退出網域 ( 雖然目前沒有人無聊到去這樣作 )
還有一個困擾就是 Quota 的設定也會有些問題,基本上就算Quota滿了還是可以寫入
八月份,請SCT來協助網域控制站轉移的時候
也針對一些網域管理上的問題作了請益與交流,幫新的網域控制站作了些調整
這學期,聽cciilin說到四年級上課的軟體 PhotoCap 竟然有個怪現象
不知道是怎麼著回事,執行這個軟體,如果只有Domain User的權限會有問題
但是總也不可能把四年級學生的帳號提升網域權限吧?
諸如此類的問題,往後只會有增無減,與SCT討教使用GroupPolicy的方式來改善
但是 arman 的測試竟然是無效,後來幫忙找了資料,還是用 MicroSoft 官方網站上面的方法才成功
其實不過是用一個簡單的很的指令

C:\>NET LOCALGROUP ?
這個命令的語法是:
NET LOCALGROUP
[groupname [/COMMENT:"text"]] [/DOMAIN]
              groupname {/ADD [/COMMENT:"text"] | /DELETE}  [/DOMAIN]
              groupname name [...] {/ADD | /DELETE} [/DOMAIN] 

這是這個指令的用法
例如,我們要將 網域的grade4群組 加到 本機的administratos群組
NET LOCALGROUP administrators grade4 /add 
只需要將這個指令存成 *.bat 執行之後就可以了
要讓使用者執行這個檔案其實很簡單,可以使用群組原則來設定登入時執行的指令檔

但是因為要給學生去執行這個指令檔,又會有權限的問題
( 如果Domain User的帳號權限可以將網域群組加入本機管理者群組,這樣就太扯了 )
所以,可以在新增指令碼的時候一併輸入參數指定使用者 ( 請參考 使用Runas ) 
可是因為原本我是慣用 vbs 來替使用者加入網路磁碟機、網路印表機...等等資源的
所以乾脆就在原本的使用者登錄檔 VBS 中呼叫這個 BAT 來執行

createobject("wscript.shell").run "\\SERVERNAME\PATH\net_localgroup",0

指令的最後一行那個 "0" 其實就是隱藏命令提示字元視窗的意思,這樣一來就完成啦
當然,如果對於要隱藏路徑或是要將更高權限的使用者帳號密碼一併打包進去的話
也可以考慮用 Bat To Exe-Converter 或 AutoHotkey 之類的軟體打包Script
有興趣的朋友,也可以繼續延伸應用啦~ 
( arman 的筆記 → http://blog.ckps.hc.edu.tw/post/4/2455 )  

留言