我的域内有一个运行 Windows Server 2012 R2 的虚拟服务器,这让我非常抓狂。每次我将域组添加到本地组“管理员”时,它都会运行一段时间,但 2 或 3 天后它就会从服务器上消失。
为了便于管理和访问控制,我们在 AD 中为每台服务器创建两个全局安全组,因此对于这个服务器,我们有“[APPLICATION] 用户管理员”和“[APPLICATION] 服务器”。
第一个组应用于“管理员”本地组,我们需要授予管理员权限的每个域用户都添加到该组中。第二个组用于添加运行该应用程序的每个服务器(如果我们有多个服务器),这使我们的 GPO 变得简单。
我开始认为其中一位管理员正在删除该组,以便他可以要求我们从域中删除该服务器,但我找不到方法来证明这一点。
有任何想法吗?
答案1
您是否检查过是否有 GPO 为成员设置了“受限组”?这将删除添加的组。您还可以设置 GPO 为成员设置“受限组”,如果有人删除了该组,它将在下次刷新 GPO 时恢复。 https://support.microsoft.com/en-us/kb/279301