我遇到的情况是,我们有一个父/子域。我们有一个名为 Enterprise Admins 的通用组,该组中有 PARENT\Domain Admin。在子域帐户 BUILD-IN\Administrators 组下,我们放置了 PARENT\Enterprise Admins,这为我们提供了对子域的远程完全管理权限。
我们遇到的问题是,我们希望将父域管理员添加到计算机的本地管理员中,而无需在子域上创建域本地帐户。我们实施了受限组策略,将父域管理员和子域管理员组添加到本地管理员组,这有效。
但是,由于限制性组策略,我们添加到框中的任何自定义本地管理员都会被删除并被策略替换,这是我们不想要的。
我们如何才能将 PARENT\Domain Admin 组添加到子域中的客户端而不删除现有的组。
答案1
您可以使用组策略首选项将本地计算机上的内置管理员组更新为您想要的任何域帐户\组。除非您明确选中删除所有其他组成员的选项,否则这不会替换现有组\用户。
受限群组是老式的做法。GPP 是新式的、更灵活的做法。