在網域環境中使用 Server 2012 r2,我嘗試將特定的使用者群組新增至使用 GPP 和專案層級定位在 OU 中組織的電腦的管理員(本機)群組。
雖然 GPO 顯示它正在應用(透過 gpresult),但管理員群組成員資格不會更改。我什至在域頂部放置了一個測試 OU 並禁用了繼承。我知道我可以使用受限群組,但這對於我們需要的範圍集來說會很痛苦。為了測試這一點,我在同一個 GPO 中設定了受限組,效果很好。
長話短說,GPP 實際上可以用來設定本地管理員成員資格嗎?
更新:測試提供了以下結果;
- 在 OU 樹中,如果我在更高的位置設定了限制群組,則該變更將生效。
如果我在同一 GPO 中放置受限群組設置,則該更改將生效。 (遵循正確的 LSDOU 順序)
最有趣的部分:當我嘗試使用 GPP 時,我可以變更本機管理員群組描述,但成員資格不會變更。
我知道最近(去年左右)MS 推出了一項更新,禁用了透過 GPO 更改本地管理員密碼的功能,有人知道它是否也破壞了 GPP 功能嗎?或者,有人使用它來設定具有 2012 R2 更新版本的群組嗎?
答案1
確保Administrators (built-in)從群組原則首選項的下拉式選單中選擇該選項。
我已將其配置Computer Configuration\Preferences\Control Panel Settings\Local Users and Groups為“操作”設定為“更新”。
