使用組策略獲取AD中所有計(jì)算機(jī)當(dāng)前登錄用戶信息

需求原因：AD中所有計(jì)算機(jī)命名規(guī)則：公司+PC序列號，操作系統(tǒng)為Windows 7 Professional版本。當(dāng)我使用Powershell將AD中所有計(jì)算機(jī)信息導(dǎo)出，并排序檢查時，發(fā)現(xiàn)有部分機(jī)器命名不符合規(guī)則，且操作系統(tǒng)為Win7旗艦版或Win10系統(tǒng)。對于這些機(jī)器的操作系統(tǒng)公司并未購買許可，會存在法律風(fēng)險。作為IT人員，應(yīng)當(dāng)及時處理這些不合規(guī)的機(jī)器。所以，我們需要及時找到機(jī)器的使用者，并培養(yǎng)用戶軟件正版化的思維。

解決方案：讓AD中所有計(jì)算機(jī)顯示出當(dāng)前用戶登錄信息，及時溝通處理不合規(guī)機(jī)器。使用組策略部署腳本將用戶登錄信息寫入對應(yīng)的計(jì)算機(jī)描述中或用戶登錄名稱中

一、登錄DC，打開AD用戶和計(jì)算機(jī)管理中心，右鍵“Computers組織單位（OU）”選擇”屬性”

二、選擇“安全”，“Authenticated Users”點(diǎn)擊“高級”

三、選擇“Authenticated Users”點(diǎn)擊“編輯”

四、選擇“應(yīng)用于后代計(jì)算機(jī)對象”給予“寫入描述權(quán)限”，點(diǎn)擊確定（注意：對于權(quán)限給予一定要仔細(xì)審核!!!）

五、打開“組策略管理”，可在默認(rèn)組策略或OU下新建策略都可以，此處已默認(rèn)策略為例

六、右鍵“Default Domain Policy”點(diǎn)擊“編輯”

七、選擇“用戶配置”，“Windows設(shè)置”"腳本（登錄/注銷）"

八、雙擊“登錄”點(diǎn)擊“添加”，點(diǎn)擊“瀏覽”

九、放入VBS腳本，點(diǎn)擊“打開”，點(diǎn)擊“確定”

十、點(diǎn)擊“應(yīng)用”“確定”，關(guān)閉組策略管理，結(jié)束

十一、可以使用gpupdate /force 強(qiáng)制刷新組策略，測試結(jié)果成功

附件腳本如下，改為VBS后綴即可正常使用

On Error Resume Next

Set objSysInfo = CreateObject("ADSystemInfo")

Set objComputer = GetObject("LDAP://" & objSysInfo.ComputerName)

Set objUser = GetObject("LDAP://" & objSysInfo.UserName)

strCompDesc =objUser.CN

if strCompDesc <> "" then

   objComputer.Description = strCompDesc & "|" & date & " " & time

   objComputer.SetInfo

end if

Set objUser = Nothing

Set objComputer = Nothing

Set objSysInfo = Nothing  

十二、如果需要寫入“用戶登錄名稱”需要更改腳本“Description“”和重新給予OU“后代計(jì)算機(jī)對象“”寫入“UserPrincipalName”的權(quán)限，此處不做詳細(xì)解釋