我需要从本地管理员组中删除用户 - 随着时间的推移,该组已经积累了大量用户。因此,我创建了一个临时的组织统一体,并附加了一个临时 GPO,然后我使用受限组将所需的组填充到本地管理员组中。
当 PC 移入临时 OU 时,GPO 会应用,本地管理员组会更改(用户会被删除)。当 PC 移回原始 OU 时,测试策略不再适用,它会恢复为本地管理员组的原始成员。
如何才能使对本地管理员组成员的更改即使导致这些更改的 GPO 不再适用也能保留下来?我希望能够将 PC 移回其原始 OU,并让其保留新的、更短的本地管理员列表。
就上下文而言,我正在使用临时 OU 来控制/测试删除我们应用程序上的本地管理员权限。
答案1
您所描述的是设计使然。策略仅在当前适用于某个对象时才会生效。(有例外,例如软件部署)。
如果您必须使用限制组策略来实现这一点,那么将该策略链接到原始 OU 是您唯一的选择。
如果您不希望策略针对原始 OU 中的所有计算机,则可以对策略进行安全过滤以仅包含特定的计算机。
答案2
我正在尝试使用组策略首选项来达到类似的目的。
您肯定需要在使用之前进行测试,但我确信您可以使用 GPP 管理本地管理员组并设置“替换”选项。只需确保您包含所有要保留的帐户,并且不要在系统超出范围时使用该选项删除设置。