Используя Server 2012 r2 в доменной среде, я пытаюсь добавить определенные группы пользователей в группу «Администраторы (локальные)» для компьютеров, организованных в OU с помощью GPP и нацеливания на уровне элементов.
Хотя GPO показывает, что он применяется (через gpresult), членство в группе «Администраторы» не меняется. Я даже поместил тестовую OU наверх домена и отключил наследование. Я знаю, что могу использовать ограниченные группы, но это будет головной болью для набора областей, которые нам нужны. Чтобы проверить это, я настроил ограниченные группы в том же GPO, и это отлично работает.
Короче говоря, можно ли на самом деле использовать GPP для установки членства в группе «Локальные администраторы»?
Обновление: Тестирование дало следующие результаты;
- Если в дереве OU у меня есть ограниченная группа, установленная выше, это изменение вступает в силу.
Если я помещу настройку ограниченной группы в тот же GPO, это изменение вступит в силу. (Соответствует правильному порядку LSDOU)
Самая интересная часть:Когда я пытаюсь использовать GPP, я могу изменить описание локальной группы администраторов, но членство в ней не меняется.
Я знаю, что совсем недавно (в течение прошлого года или около того) MS выпустила обновление, которое отключило возможность изменения паролей локального администратора через GPO, кто-нибудь знает, нарушило ли оно также и эту возможность GPP? Или, в качестве альтернативы, кто-нибудь использует это для настройки групп с обновленной версией 2012 R2?
решение1
Обязательно выберите нужный Administrators (built-in)вариант из раскрывающегося меню настроек групповой политики.
У меня это настроено Computer Configuration\Preferences\Control Panel Settings\Local Users and Groupsс действием, установленным на «Обновить».
