活动目录下（AD）如何对部分用户实现组策略例外；

活动目录下（AD）如何对部分用户实现组策略例外；

－－－洛洛根据我的研究，在Windows系统中暂时不提供工具直接实现这种功能。您可以先将需要加入到本地管理员组的域用户放入一个OU中，然后通过组策略执行脚本来完成。下面我提供一些方法，供您参考： 1．使用域管理员登陆到DC。活动目录seo 2．打开记事本创建一个批处理文件，输入以下内容，并以*.bat保存： net localgroup administrators domain\user /add 其中，USER为你当前需要提升权限的用户名。 3．点击“开始→运行”并输入“DSA.MSC”→打开Active Director用户和计算机→右键点击需要设置的OU→“属性”→组策略→“编辑”。 4．打开“计算机配置→windows设置→脚本→启动→添加*.bat文件。 5．在命令提示符下输入gpupdate /force，重启计算机。 Tom Zhang 张一平 在线技术支持工程师 微软全球技术支持中心各位，net user %username% administrators /add 这个脚本会无法执行的。因为要想加入本地管理员组，就需要管理员权限，也就是说只能用计算机登录脚本在用户登录之前执行但此时用户还没有登录，根本无从获取 %username%变量。登录之后，倒是获取到 %username%变量了，但普通的users权限是不能添加管理员群组账户的。这个问题的解决方法，有二要不，用runas，使用管理员账户在用户登录之后添加，但将管理员账户和密码写在脚本里非常不安全。要不，就是只能做计算机启动脚本，将domain users这个组添加到本地管理员群组中去。但又会让所有域用户都可以在域中任何一台电脑上，执行管理员权限，这样做也不安全。用户之所以有这样的需求，其实是为了避免用户操作或者客户端软件在域环境中遭遇的权限限制问题，如果说用户这么做只是暂时的权益之计，尚可，否则就是与活动目录的宗旨背道而驰！最终的解决方法还是要解决用户在域中所遇到的问题，例如软件权限限制问题的解决方法可以参考

给你一个思路吧，新建一个OU，做计算机策略，策略配置为禁止USB读写，把要禁USB的计算机全部移动到这个OU里，允许USB的仍然还停留在默认的computers里就行了。