是否可以将一个域中的 GPO 应用于具有信任关系的另一个域?我们有一个 GPO,它将管理安全组添加到已加入域的计算机的本地管理员组。我的理解是,域的 GPO 只能应用于其自身域内的对象。是否可以将域 A 的安全组添加到在域 B 中创建的 GPO,以添加到域 B 内计算机的本地管理员组?
GPO - 域 A <- 信任 -> 域 B
谢谢你!
答案1
我的理解是域的GPO只能应用于其自己域内的对象。
你的理解是正确的——不存在跨域 GPO
是否可以将域 A 的安全组添加到域 B 内创建的 GPO,以添加到域 B 内计算机的本地管理员组?
是的!
当然可以。如果您使用本地用户和组组策略首选项设置,则指定本地组名称(即管理员),然后添加明确的成员列表。这些成员可以来自您自己的林中的任何地方,但您也可以选择您信任的其他域中的安全主体!
只需更改对象选择器中的“位置”:
