在加入 Windows Server 2022 域的许多 Windows 10 客户端上,在发生一些严重的与 GPO 相关的错误处理后,本地管理员组仅包含(非活动)管理员。是否可以将域管理员带回本地管理员组?请注意,大多数客户端都启用了 bitlocker,因此我不能简单地启用非活动管理员帐户并从那里添加域管理员……
到目前为止我已经尝试了以下方法:
- 创建了一个 GPO,用于更新本地管理员组以包含域管理员(修改了计算机配置 -> 控制面板设置 -> 本地用户和组 -> 组(名称:内置管理员)-> 管理员(内置)(顺序:1)-> 本地组以添加 mydomain\Domain 管理员)。客户端上的 gpupdate /force 似乎成功进行,事件查看器的系统部分没有记录任何错误,但未添加该组:
- 按照此操作,使用受限组(修改计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 受限组)创建了一个执行相同操作的 GPO
。结果相同。 - 我们为这些客户端提供了远程访问解决方案,允许我们编辑注册表。我修改了 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList,以包含现有的本地(非域)用户,并将其值设为 1(据说这会将用户添加到本地管理员组)。再次失败。
也许为了使 GPO 真正执行,客户端应该将域管理员包括在本地管理员中?
编辑:看来策略处理一切顺利,问题出在我们 2 个 DC 的组策略上:它们对存在哪些 GPO 有不同的看法(尽管 repadmin/dcdiag 显示没有任何问题)。从两边删除有问题的 GPO,然后按照上面的方法 #2(即通过受限组)操作,一切正常。
由于我正在寻找“永久”解决方案(删除受限组策略很可能也会将域管理员从本地管理员组中删除),因此我希望 #1 再次运行。但我无法让它工作。
编辑2:通过删除受限组策略并实施一个简单的基于 GPO 的 powershell 脚本(包括一个将Add-LocalGroupMember域管理员包含在管理员组中的脚本)解决了这个问题。