Al utilizar Server 2012 r2 en un entorno de dominio, estoy intentando agregar grupos específicos de usuarios al grupo Administradores (local) a computadoras organizadas en unidades organizativas que utilizan GPP y orientación a nivel de elemento.
Si bien el GPO muestra que se está aplicando (a través de gpresult), la membresía del grupo de administradores no cambia. Incluso coloqué una unidad organizativa de prueba en la parte superior del dominio y deshabilité la herencia. Sé que puedo usar grupos restringidos, pero será complicado para el conjunto de ámbitos que necesitamos. Para probar esto, configuré grupos restringidos en el mismo GPO y funciona bien.
En pocas palabras, ¿se pueden utilizar los GPP para establecer la membresía de administradores locales?
Actualización: Las pruebas han proporcionado los siguientes resultados;
- En el árbol de unidades organizativas, si tengo un grupo restringido configurado en un nivel superior, ese cambio surte efecto.
Si coloco una configuración de grupo restringido en el mismo GPO, ese cambio surte efecto. (Sigue el orden LSDOU adecuado)
Parte más interesante:Cuando intento utilizar GPP, puedo cambiar la descripción del grupo de administradores locales, pero la membresía no cambia.
Sé que hace poco (aproximadamente el año pasado) MS lanzó una actualización que deshabilitó la capacidad de cambiar las contraseñas de administrador local a través de GPO, ¿alguien sabe si también rompió esta capacidad de GPP? O alternativamente, ¿alguien está usando esto para configurar grupos con una versión actualizada de 2012 R2?
Respuesta1
Asegúrese de elegir la Administrators (built-in)opción en el menú desplegable de Preferencia de política de grupo.
Lo tengo configurado Computer Configuration\Preferences\Control Panel Settings\Local Users and Groupscon la Acción configurada en "Actualizar".
