公司使用windows 活动目录管理,之前发现有同事因为各种原因,装机/修机的时候把客户机上的domain users权限账号设到了本地administrators组,又忘了改回去,于是写了一个批处理来清除本应是域普通用户权限却变成本地管理员权限的账号。
客户机上具有多个有本地管理员权限的账号
在客户机的管理员组里只保留一个本地administrator账号和domain admins组账号,为了更安全,还可以将本地administrator改名。
可以在图中看到,系统是以 你的域名\Domain Users 这样格式显示账号的
贴代码:
@echo off
setlocal EnableDelayedExpansion
set u1=你的域名\Domain Admins
for /f "delims=" %%i in ('net localgroup administrators ^| findstr 你的域名') do (
set u2=%%i
if not !u2! == !u1! net localgroup administrators !u2! /delete
)
exit
以上批处理检索本地administrators组的用户中属于域用户的账号,如果不匹配 域名\Domain Admins 这个账号,则删除之。
把这个批处理设为域组策略客户机登录脚本或直接用psexec来推送执行,就完成了。