我正在尝试为公司的 AD 基础架构实施受限组策略,即标准化本地“管理员”组。文档(和各种网页)表示“此组的成员”策略将清除“管理员”组。然而,一个实验让我感到困惑:
我创建了 2 个 GPO:
- 促黄素酶A将本地管理员替换为域用户列表(例如“Alice”和“Bob”)
- GPO-B将域用户(例如“Charlie” - 不属于 GPO A)插入到本地管理员中
实验一:GPO-A首先应用(链接顺序 2)
一切都按预期发生:GPO-A 清除本地管理员并添加“Alice”和“Bob”;GPO-B 添加“Charlie”。
实验2:GPO-B首先应用
会发生什么:
- “Charlie”被添加到本地管理员组(其中还包含 2 个本地用户)
- 电脑上的本地用户被删除,并且“Alice”和“Bob”被添加。
- 结果:本地管理员包含“Alice”、“Bob”和“Charlie”
我的困惑:实验 2,我以为 GPO-A 将完全删除本地管理员组,包括由 GPO-B 添加的用户(因为 GPO-A 已应用后GPO-B)。实际上,它只会从本地管理员中删除本地用户,但会保留域用户。
那么,情况应该如此吗?还是我做错了什么?