Windows-7

使用 GPP 設置本地管理員

  • January 6, 2016

在域環境中使用 Server 2012 r2,我試圖將特定的使用者組添加到管理員(本地)組到使用 GPP 和項目級目標組織在 OU 中的電腦。

雖然 GPO 顯示它正在應用(通過 gpresult),但管理員組成員身份不會改變。我什至在域頂部放置了一個測試 OU 並禁用了繼承。我知道我可以使用受限組,但是對於我們需要的範圍集來說這會很痛苦。為了測試這一點,我在同一個 GPO 中設置了受限組,它工作正常。
長話短說,GPP 真的可以用來設置本地管理員成員嗎?

更新:測試提供了以下結果;

  • 如果我在 OU 樹中設置了更高的受限組,則該更改將生效。
  • 如果我將受限組設置放在同一個 GPO 中,該更改就會生效。(遵循正確的 LSDOU 順序)
  • *最有趣的部分:*當我嘗試使用 GPP 時,我可以更改本地管理員組描述,但成員身份不會改變。

我知道最近(在去年左右)MS 推出了一個更新,該更新禁用了通過 GPO 更改本地管理員密碼的能力,有人知道它是否也破壞了這個 GPP 能力?或者,是否有人使用它來設置具有 2012 R2 更新版本的組?

確保Administrators (built-in)從組策略首選項的下拉菜單中選擇該選項。

我已將其配置為Computer Configuration\Preferences\Control Panel Settings\Local Users and Groups操作設置為“更新”。

引用自:https://serverfault.com/questions/734604