【摘要】

本次需要分享的主题是如何使普通用户可以以管理员身份运行脚本，对此，可先设定一个需求场景，即如何实现将某部门用户自动加入本地管理员组。分析该需求，除了常用的受限制组的方法外，可以通过组策略执行脚本，脚本作用是将当前用户加入本地管理员组，因此需要通过用户配置登录脚本设置。由于普通用户无管理员权限，无权限执行该脚本。下文将介绍一种方法，即使用GPAU加密管理员凭据和脚本，然后执行即可达到以管理员身份执行脚本的效果。

本文转自-学领未来

【正文】

1、 下载GPAU工具

2、 修改并保存修改本地管理员组脚本modify-group.bat，如下：

net localgroup /add administrators '%USERNAME%'

3、 使用GPAU工具加密脚本modify-group.bat，如下

CPAU.exe -u contoso\administrator -p 1qaz@WSX -ex modify-group.bat -enc -file pwd.dll

注1：contoso\admnistrator为管理员账号，1qaz@WSX为管理员密码，建议实际应用可替换为终端加域的管理账号（具有本地管理员权限）。

注2：enc表示加密，pwd.dll为加密后文件名（可指明其他路径，如c:\pwd.dll）

4、 解密执行，如下图，其中

CPAU.exe -dec -file pwd.dll -lwp

注1：dec表示解密，pwd.dll为之前加密的脚本

5、 将解密执行命令封装为bat脚本，脚本通过组策略分发，因此可写成如下：

注：以上bat脚本设置在用户登录脚本，脚本执行逻辑会进行重复执行判断，首次执行会生成文件exec_finished.txt，每次执行会优先检查是否存在exec_finished.txt，如存在则不重复执行。

6、将Auto_Add_AdminGroup.bat应用到用户登录组策略，应用到对应OU。

【小结】

       通过GPAU方法可以将管理员凭据进行加密，使用中直接使用加密文件，可以避免管理账号密码外泄。既可达到使用管理员身份目的，又可避免管理密码泄露，在实际环境中不失为一种解决方法。针对客户实际应用环境和需求，实际可以采取的方法很多，本文仅为其中一种供借鉴