Group-Policy
GPO - 本地管理員組管理(受限組與本地使用者和組)
我正在尋找目前的最佳實踐,但似乎找不到明確的答案。我正在尋找管理 Windows(客戶端)機器上本地管理員組的成員資格。過去,我們使用受限組,但我看到本地使用者和組提供了更大的靈活性,並且還可以清除現有使用者和組以模仿受限組的操作。
關於為什麼我會選擇其中一個的任何建議。只是偏好嗎?大多數管理員使用什麼?有沒有人有一個微軟文件的連結來解釋應該使用哪個?
謝謝!
我會說這是一種偏好。讓我們做一點歷史來解釋為什麼我們可以用兩種不同的方式管理組成員:
“受限組”(在 GP 管理控制台的“策略”節點中)首先出現,並允許您限制組的成員(限制後,任何人都無法添加/刪除組中的某些內容)。
然後,另一家公司(稱為“DesktopStandard”)創建了他們自己的 GP 擴展(PolicyMaker),以允許管理員使用組策略執行其他任務,例如創建和刪除文件、文件夾、系統資料庫項、快捷方式等……他們提供了另一種方式使用“本地使用者和組”管理使用者和組成員資格。最終,微軟收購了這家公司,並將他們的工具集成到 GP 管理控制台的“首選項”節點中(這就是為什麼當您瀏覽 GPO 中的“首選項”節點時外觀會有所不同)。
就是這樣,現在我們有兩種方法來管理組成員身份:“受限組”是原始的一種,“本地使用者和組”是“固定”工具。
如果你只是想限制組成員,我個人會使用“限制組”,但是如果你想添加一些成員而不清除舊成員,並且如果你想允許使用者添加成員之後,你應該使用“ “首選項”中的“本地使用者和組”