Я настраиваю GPO для добавления локальной группы в политику прав пользователя, однако при настройке через GPO все существующие члены права удаляются в приложении GPO. Вы, очевидно, можете добавить всех пользователей в GPO, чтобы убедиться, что они сохранены, но когда пользователь является только локальным для удаленного сервера, например NT SERVICE\SQLSERVERAGENT, его нельзя добавить в GPO из DC, который просто не распознает его.
Правильно ли я понимаю, что это случай использования GPO, когда право пользователя должно содержать только учетные записи/группы домена, встроенных пользователей/группы, но если необходимо добавить дополнительные типы пользователей, то вместо этого следует использовать ручное добавление?
Жаль, если это последнее. Можно было бы настроить это через GPP, как это можно сделать с локальными пользователями/группами, и иметь возможность сохранить существующих членов, что устранило бы это первоначальное замечание.
Привет, Джейми!
решение1
В таком конкретном случае, пожалуйста, откройте консоль групповой политики с самого сервера SQL, вам нужно будет установить инструмент RSAT. Параметры отличаются, так как он обнаружит вашего локального пользователя и позволит вам выбрать его при редактировании GPO.
Обратите внимание, что объект групповой политики не будет корректно применяться на сервере, где нет локального пользователя.