以下场景比较奇怪,请注意。
我在包含如下工作站的 OU 上创建了一个 GPO:
此 GPO 目的是使备份操作员组成为 OU 内所有工作站上的本地管理员组的成员。
以下是此 GPO 的内容:
然后当我检查 GPO 是否已应用时结果在应用 GPO 的组织单位 (OU) 内的工作站上,我可以看到它已正确应用于该工作站:
但是当我去检查工作站上的本地组时,在本地管理员组中,我应该看到其中的备份操作员组,但没有:
即使经过gpupdate /force然后重新启动,结果还是一样。
我做错什么了吗?
编辑:
这是我在执行以下gpudpate /force:
Security policies were propagated with warning. 0x4b8 : An extended
error has occurred.
For best results in resolving this event, log on with a
non-administrative account and search http://support.microsoft.com
for "Troubleshooting Event 1202's".
答案1
呵,你这是要打自己耳光啊!
“备份操作员”是内置的本地域名安全组。
根据我老旧的 MCSE,域本地安全组不能成为另一个组的成员。
它是所谓的“端点”组,只能应用于 DACL 之类的。
答案2
虽然我最终同意@adaptr 的观点,但这是无法做到的,澄清一些术语可能会有所帮助。
您可以创建域本地安全组并嵌套它们。这可能取决于域功能级别(我们的是 2000,不是很新),也可能取决于服务器版本(我们运行的是 2003/2008R2),但这是可以做到的。
但是 MS 默认内置组(本地组和域组)都限制了嵌套。
“您无法将位于内置容器中的默认组添加为其他组的成员。但是,您可以将其他组添加为位于内置容器中的默认组的成员。”
http://technet.microsoft.com/en-us/library/cc776499(WS.10).aspx
管理员组和备份操作员组都位于域内置 OU 中,这似乎也适用于客户端(本地用户和组)。
答案3
我觉得这似乎倒退了。我一直将“管理员”组添加到受限组 GPO 并添加适当的成员。请记住,这将覆盖那里的内容,因此请确保重新添加域管理员。
实际上,是否有另一个 GPO 将域管理员添加到管理员组?如果在之后应用,这可能会覆盖此 GPO。例如,默认域策略。