透過 GPO 將所有使用者降級為本機 Power Users 群組

 

問題

由於之前使用的系統多半需要本機管理者才能執行，因此長久以來一直都是把網域使用者加入到本機管理者群組中，但由於大部分系統已轉移到 WEB 且新的資安政策強制所有使用者以後不得再使用本機管理者權限，所以需要將所有使用者降級至本機 Power Users 群組。

解決方式

目前要達到此要求可以透過 Logon Script 或是 GPO。經測試以 GPO 進行變更作業比較好用且彈性較大，因此採用此方法進行作業。

1. 建立 GPO 使用者設定 -> 本機使用者和群組 -> 新增本機群組

2. 將登入的使用者新增至本機 Power Users 群組。(敘述欄位如不輸入，用戶端上的 Power Users 群組敘述將被清空)

3. 將登入的使用者從本機 Administrators 群組移除。(敘述欄位如不輸入，用戶端上的 Power Users 群組敘述將被清空)

4. 完成後，套用順序如下圖。(順序為先加後移除)

心得與觀察

1. 由於是 "喜好設定"，因此做的變更在移除 GPO 後不會被改回。如果以後要將使用者升回本機管理者群組也只需修改群組原則設定內容就行。

2. 發佈後執行 gpupdate /target:user /force 即可立即套用，但用戶仍需登出登入才能生效。