移動到新 OU 後組策略中受限組的行為（在同一域內）

我對組策略相當熟悉，但這有點奇怪。我知道安全設置每 16 小時應用一次。我有一個將 AD 組添加到本地管理員（受限組）的策略。它將取代所有其他設置。

現在，我們正在遷移到一個新的域結構並清理我們的策略。我將電腦移到了新的 OU 和隨附的策略中。在新環境中，沒有設置受限組的策略。

令我驚訝的是，當電腦被移動時，移動一段時間後，所有管理員突然不再擁有管理員權限。我們顯然沒有在電腦本身上手動刪除它們，所以這是將電腦對象移動到新環境中的結果。

我會認為已經設置的設置保持設置。話雖如此，通過移動電腦對象並因此“刪除策略”，我基本上是“更改設置”。最多 16 小時後重新應用設置並應用“空”設置。另一方面，這沒有任何意義。因為 GPT 不包含任何“發送”到電腦進行處理的設置。

所以我很困惑為什麼該組被從電腦中刪除。誰能解釋一下？

這是預期的行為，當電腦收到“受限組”策略時，它將先前的狀態儲存在本地記憶體中。

當 GPO 不再位於電腦範圍內時，Windows 會將本地組成員身份恢復為以前的值。

GPO 中的安全設置是持久的。他們“紋身”系統，即使 GPO 被刪除。

要恢復，您必須應用系統的預設安全策略：

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

請參閱此處https://support.microsoft.com/en-us/help/313222/how-do-i-restore-security-settings-to-a-known-working-state

引用自：https://serverfault.com/questions/1030861