在域环境中使用 Server 2012 r2,我尝试使用 GPP 和项目级定位将特定用户组添加到按 OU 组织的计算机的管理员(本地)组中。
虽然 GPO 显示它正在应用(通过 gpresult),但管理员组成员身份没有改变。我甚至在域顶部放置了一个测试 OU 并禁用了继承。我知道我可以使用受限组,但对于我们需要的范围集来说,这会很麻烦。为了测试这一点,我在同一个 GPO 中设置了受限组,它运行良好。
长话短说,GPP 实际上可以用来设置本地管理员成员身份吗?
更新:测试提供了以下结果;
- 在 OU 树中,如果我在较高层设置了受限组,则该更改将会生效。
如果我在同一个 GPO 中设置了受限组,则该更改将生效。(遵循正确的 LSDOU 顺序)
最有趣的部分:当我尝试使用 GPP 时,我可以更改本地管理员组描述,但成员资格不会改变。
我知道最近(大约去年)微软推出了一项更新,禁用了通过 GPO 更改本地管理员密码的功能,有人知道这是否也破坏了 GPP 的功能吗?或者,有人使用这项更新来设置 2012 R2 更新版本的组吗?