Usando o Server 2012 r2 em ambiente de domínio, estou tentando adicionar grupos específicos de usuários ao grupo Administradores (local) para computadores organizados em UOs usando GPP e segmentação em nível de item.
Embora o GPO mostre que está sendo aplicado (via gpresult), a associação ao grupo Administradores não muda. Até coloquei uma UO de teste no topo do domínio e desabilitei a herança. Eu sei que posso usar grupos restritos, mas será um problema para o conjunto de escopos que precisamos. Para testar isso, configurei grupos restritos no mesmo GPO e funciona bem.
Resumindo, os GPPs podem realmente ser usados para definir a associação de administradores locais?
Atualização: os testes forneceram os seguintes resultados;
- Na árvore da UO, se eu tiver um grupo restrito configurado em uma posição superior, essa alteração entrará em vigor.
Se eu colocar uma configuração de grupo restrito no mesmo GPO, essa alteração entrará em vigor. (Segue a ordem LSDOU adequada)
Parte mais interessante:Quando tento usar o GPP, posso alterar a descrição do grupo Administradores local, mas a associação não muda.
Eu sei que recentemente (no ano passado ou mais) a MS lançou uma atualização que desabilitou a capacidade de alterar senhas de administrador local via GPO, alguém sabe se isso também quebrou essa capacidade do GPP? Ou, alternativamente, alguém está usando isso para definir grupos com uma versão atualizada do 2012 R2?
Responder1
Certifique-se de escolher a Administrators (built-in)opção no menu suspenso das Preferências de Política de Grupo.
Eu configurei isso Computer Configuration\Preferences\Control Panel Settings\Local Users and Groupscom a ação definida como "Atualizar".
