使用組策略獲取AD中所有計算機當前登錄用戶信息
需求原因:AD中所有計算機命名規則:公司+PC序列號��,操作系統為Windows 7 Professional版本��。當我使用Powershell將AD中所有計算機信息導出��,并排序檢查時�����,發現有部分機器命名不符合規則����,且操作系統為Win7旗艦版或Win10系統��。對于這些機器的操作系統公司并未購買許可��,會存在法律風險���。作為IT人員�����,應當及時處理這些不合規的機器�。所以��,我們需要及時找到機器的使用者�����,并培養用戶軟件正版化的思維���。
解決方案:讓AD中所有計算機顯示出當前用戶登錄信息��,及時溝通處理不合規機器�����。使用組策略部署腳本將用戶登錄信息寫入對應的計算機描述中或用戶登錄名稱中
一��、登錄DC�,打開AD用戶和計算機管理中心�����,右鍵“Computers組織單位(OU)”選擇”屬性”
二��、選擇“安全”����,“Authenticated Users”點擊“高級”
三����、選擇“Authenticated Users”點擊“編輯”
四���、選擇“應用于后代計算機對象”給予“寫入描述權限”��,點擊確定(注意:對于權限給予一定要仔細審核!!!)
五�����、打開“組策略管理”�,可在默認組策略或OU下新建策略都可以�,此處已默認策略為例
六���、右鍵“Default Domain Policy”點擊“編輯”
七����、選擇“用戶配置”��,“Windows設置”"腳本(登錄/注銷)"
八��、雙擊“登錄”點擊“添加”��,點擊“瀏覽”
九�、放入VBS腳本����,點擊“打開”���,點擊“確定”
十��、點擊“應用”“確定”��,關閉組策略管理�,結束
十一����、可以使用gpupdate /force 強制刷新組策略�,測試結果成功
附件腳本如下�,改為VBS后綴即可正常使用
On Error Resume Next
Set objSysInfo = CreateObject("ADSystemInfo")
Set objComputer = GetObject("LDAP://" & objSysInfo.ComputerName)
Set objUser = GetObject("LDAP://" & objSysInfo.UserName)
strCompDesc =objUser.CN
if strCompDesc <> "" then
objComputer.Description = strCompDesc & "|" & date & " " & time
objComputer.SetInfo
end if
Set objUser = Nothing
Set objComputer = Nothing
Set objSysInfo = Nothing
十二����、如果需要寫入“用戶登錄名稱”需要更改腳本“Description“”和重新給予OU“后代計算機對象“”寫入“UserPrincipalName”的權限�,此處不做詳細解釋
