Ich verwende Server 2012 r2 in einer Domänenumgebung und versuche, bestimmte Benutzergruppen zur Gruppe „Administratoren (lokal)“ auf Computern hinzuzufügen, die in Organisationseinheiten organisiert sind, indem ich GPP und Zielausrichtung auf Elementebene verwende.
Obwohl das Gruppenrichtlinienobjekt anzeigt, dass es angewendet wird (über gpresult), ändert sich die Mitgliedschaft in der Gruppe „Administratoren“ nicht. Ich habe sogar eine Test-Organisationseinheit an oberster Stelle der Domäne platziert und die Vererbung deaktiviert. Ich weiß, dass ich eingeschränkte Gruppen verwenden kann, aber das wäre für die von uns benötigten Bereiche mühsam. Um dies zu testen, habe ich eingeschränkte Gruppen im selben Gruppenrichtlinienobjekt eingerichtet und es funktioniert einwandfrei. Kurz
gesagt: Können GPPs tatsächlich verwendet werden, um die Mitgliedschaft lokaler Administratoren festzulegen?
Update: Tests haben folgende Ergebnisse geliefert:
- Wenn ich im OU-Baum weiter oben eine eingeschränkte Gruppe festgelegt habe, wird diese Änderung wirksam.
Wenn ich eine eingeschränkte Gruppeneinstellung in derselben Gruppenrichtlinie platziere, wird diese Änderung wirksam. (Befolgt die richtige LSDOU-Reihenfolge.)
Interessantester Teil:Wenn ich versuche, GPP zu verwenden, kann ich die Beschreibung der lokalen Administratorgruppe ändern, aber die Mitgliedschaft ändert sich nicht.
Ich weiß, dass MS vor relativ kurzer Zeit (ungefähr im letzten Jahr) ein Update herausgebracht hat, das die Möglichkeit deaktiviert hat, lokale Administratorkennwörter über GPO zu ändern. Weiß jemand, ob dadurch auch diese GPP-Fähigkeit unterbrochen wurde? Oder verwendet das alternativ jemand, um Gruppen mit einer aktualisierten Version von 2012 R2 einzurichten?
Antwort1
Administrators (built-in)Stellen Sie sicher, dass Sie die Option aus dem Dropdown-Menü der Gruppenrichtlinieneinstellungen auswählen .
Ich habe dies Computer Configuration\Preferences\Control Panel Settings\Local Users and Groupsmit der Aktion „Aktualisieren“ konfiguriert.
