如何通过GPO组策略使域用户成为PC的本地管理员？

AD域管理员可以指派域用户作为PC的本地管理员，该部分域用户拥有AD域管理员的部分权限，可以对云应用服务的域服务器相关功能进行维护，例如，更新应用等。作为云应用的专属域管理员，可以提升域服务器的安全，并提升维护效率。

创建安全组

1. 使用Administrator用户登录AD服务器，打开“服务器管理器”。
2. 选择“工具 > Active Directory 用户和计算机”，进入Active Directory 用户和计算机列表页面。
3. 右键单击相应的域，选择“新建 > 组”，进入新建对象-组页面。

   

4. 填写组信息。
   • 设置“组名”为“Local Admin”。
   • 设置“组作用域”为“全局”。
   • 设置“组类型”为“安全组”。

     

5. 单击“确定”。
6. 右键单击Local Admin组，选择“属性”，在“成员”页签添加用户（需要作为PC本地管理员的域用户）
7. 单击“确定”。

创建GPO组策略

8. 打开组策略管理器，右键单击“组策略对象”，新建名称为“Local Admin GPO”的GPO。

   

9. 单击“确定”。

配置GPO策略

10. 右键点击步骤8创建的“GPO”，选择“编辑”，打开“本地组策略编辑器”窗口。
11. 在“组策略管理编辑器”窗口中，在左侧导航树中展开“计算机配置 > 策略 > Windows 设置 > 安全设置”，右键单击“受限制的组”。

    

12. 选择“添加组”。
13. 将7中创建的“Local Admin”组添加至受限制的组列表中。

    

14. 展开受限制的组，右键单击已添加的“Local Admin”组，选择“属性”，进入属性配置页面。

    

15. 在“这个组隶属于”区域，单击“添加”，进入配置页面。

    

16. 将“Local Admin”组配置隶属于“Adminstrators”、“Remote Desktop Users”用户组，单击“确定”。

将“Local Admin GPO”组策略连接到指定的OU

17. 打开组策略管理器，右键单击需要应用组策略的OU，选择“连接现有GPO”。
18. 在选择GPO列表页面，选择“Local Admin GPO”，单击“确定”。

    

测试组策略配置是否成功

19. 参考如何将ECS服务器加入云应用服务器的域中？将本地PC加入云应用服务所在域，并添加到已应用组策略的OU中（例如，18中举例的aps OUS）。
20. 输入如下命令，打开本地用户和组管理界面。

    lusrmgr.msc

21. 单击“组”，右键单击“Administrator”用户组，选择“属性”，查看是否包含Local Admin组成员。

    

22. 右键单击“Remote Desktop User”用户组，选择“属性”，查看是否包含Local Admin组成员。

    

23. 重启并登录PC，打开cmd命令提示符，输入如下命令强制更新。

    gpupdate /force