我正在寻找当前的最佳做法,但似乎找不到明确的答案。我希望管理 Windows(客户端)计算机上本地管理员组的成员身份。过去,我们使用过受限组,但我发现本地用户和组提供了更大的灵活性,还可以清除现有用户和组以模仿受限组正在做的事情。
有什么建议可以说明我为什么会选择其中一个而不是另一个吗?这只是个人偏好吗?大多数管理员使用哪个?有没有人有微软文档的链接来解释应该使用哪个?
谢谢!
答案1
我想说这是一种偏好。让我们回顾一下历史,解释一下为什么我们可以用两种不同的方式来管理群组成员:
“受限组”(在 GP 管理控制台的“策略”节点中)首先出现,并允许您限制组的成员(在您限制组后,任何人都不能添加/删除组中的内容)。
然后,另一家公司(名为“DesktopStandard”)创建了自己的 GP 扩展(PolicyMaker),允许管理员使用组策略执行其他任务,例如创建和删除文件、文件夹、注册表项、快捷方式等...并且他们提供了另一种方法,通过“本地用户和组”来管理用户和组成员身份。最终微软收购了这家公司并将其工具集成到 GP 管理控制台的“首选项”节点中(这就是为什么当您浏览 GPO 中的“首选项”节点时外观和感觉会有所不同)。
就是这样,现在我们有两种方式来管理组成员资格:“受限组”是原始方式,“本地用户和组”是“附加”工具。
如果您只是想限制组成员身份,我个人会使用“受限组”,但如果您想添加一些成员而不删除旧成员,并且如果您想允许用户随后添加成员,您应该使用“首选项”中的“本地用户和组”