Active Directory 受限组混乱

Active Directory 受限组混乱

我正在尝试为公司的 AD 基础架构实施受限组策略,即标准化本地“管理员”组。文档(和各种网页)表示“此组的成员”策略将清除“管理员”组。然而,一个实验让我感到困惑:

我创建了 2 个 GPO:

  • 促黄素酶A将本地管理员替换为域用户列表(例如“Alice”和“Bob”)
  • GPO-B将域用户(例如“Charlie” - 不属于 GPO A)插入到本地管理员中

实验一:GPO-A首先应用(链接顺序 2)

一切都按预期发生:GPO-A 清除本地管理员并添加“Alice”和“Bob”;GPO-B 添加“Charlie”。

实验2:GPO-B首先应用

会发生什么:

  1. “Charlie”被添加到本地管理员组(其中还包含 2 个本地用户)
  2. 电脑上的本地用户被删除,并且“Alice”和“Bob”被添加。
  3. 结果:本地管理员包含“Alice”、“Bob”和“Charlie”

我的困惑:实验 2,我以为 GPO-A 将完全删除本地管理员组,包括由 GPO-B 添加的用户(因为 GPO-A 已应用GPO-B)。实际上,它只会从本地管理员中删除本地用户,但会保留域用户。

那么,情况应该如此吗?还是我做错了什么?

答案1

经过两次实验后,本地组管理员包含相同的成员:Alice、Bob 和 Charlie。这不是记录的行为,也不是我在测试中看到的行为。

作为KB279301状态,

除管理员组中的管理员外,任何不在成员列表中的受限组的当前成员都将被删除。

我可以根据自己的经验确认,如果通过多个受限组策略设置组的成员,则只保留在最后应用的 GPO 中配置的成员。

要进行故障排除并找出您看到不同行为的原因,请按照所述启用组策略日志记录到 gpsvc.log这里

相关内容