我在工作域中设置了多个 GPO,在一个 GPO 中,我通过“受限组”功能将组设置为本地管理员。但是,当此组中的某个用户登录到域中的某台计算机时,他们无法进行管理更改,例如安装和删除程序。我仔细检查了 GPO,一切似乎都设置正确。GPO 已链接并设置为强制执行策略。
更新: 当我登录客户端计算机并运行 gpresult /z 时,我得到了以下信息:
以下 GPO 未应用,因为它们已被过滤掉
Technology Department Configuration
Filtering: Not Applied (Empty)
Local Group Policy
Filtering: Not Applied (Empty)
为什么说它是空的?我是不是忘了什么?我正在查看我们域中的所有 GPO,总共有 5 个,每个都只应用于特定组。这些用户属于技术部门组,并且只链接到一个 GPO。我看不出哪里可能有冲突?此组的唯一过滤器是它们被添加到远程桌面用户组、允许本地登录、允许通过终端服务登录,并通过受限组设置为本地管理员。
答案1
受限组 GPO 适用于计算机,而不是用户。如果您想使用领域安全组来指定 GPO 应应用到哪些计算机,范围内的计算机需要添加到该组中领域安全组。
答案2
检查事项:
- 登录到客户端并运行命令
gpresult /z
,确保策略已应用于此计算机。 - 如果没有,则可能是您的策略链接到了错误的 OU,或者策略的范围不允许应用于客户端(即按组成员身份筛选)。还有一个 GUI通用机械委员会(将安装在 DC 上)允许您执行此操作。 - 检查您希望此策略生效的客户端的事件日志。是否有任何错误?
您的问题指出,一个用户登录时没有获得管理员权限,这是否意味着其他用户拥有管理员权限?其他用户是否真的尝试过这台计算机?如果是这样,并且其他用户确实获得了预期的管理员权限,那么此配置是否在同一策略中?如果是,请仔细检查组成员身份。再次检查事件日志,因为这可能会提供有关问题所在的重要线索。
附注:通常情况下,您不需要强制执行策略,除非您在优先级顺序中存在冲突的策略。策略按以下顺序应用。本地、站点、域,然后是计算机/用户所属的 OU(从根开始),最后应用的策略将覆盖任何先前的冲突,除非您使用“强制”设置,在这种情况下,第一个应用的“强制”设置将获胜。
从您提供的信息很难知道问题出在哪里,但如果您可以编辑您的问题以添加更多详细信息,展示您已检查(和发现)的内容,这将有助于我们提供更好的诊断。