Windows-7
使用 GPP 設置本地管理員
在域環境中使用 Server 2012 r2,我試圖將特定的使用者組添加到管理員(本地)組到使用 GPP 和項目級目標組織在 OU 中的電腦。
雖然 GPO 顯示它正在應用(通過 gpresult),但管理員組成員身份不會改變。我什至在域頂部放置了一個測試 OU 並禁用了繼承。我知道我可以使用受限組,但是對於我們需要的範圍集來說這會很痛苦。為了測試這一點,我在同一個 GPO 中設置了受限組,它工作正常。
長話短說,GPP 真的可以用來設置本地管理員成員嗎?更新:測試提供了以下結果;
- 如果我在 OU 樹中設置了更高的受限組,則該更改將生效。
- 如果我將受限組設置放在同一個 GPO 中,該更改就會生效。(遵循正確的 LSDOU 順序)
- *最有趣的部分:*當我嘗試使用 GPP 時,我可以更改本地管理員組描述,但成員身份不會改變。
我知道最近(在去年左右)MS 推出了一個更新,該更新禁用了通過 GPO 更改本地管理員密碼的能力,有人知道它是否也破壞了這個 GPP 能力?或者,是否有人使用它來設置具有 2012 R2 更新版本的組?
確保
Administrators (built-in)從組策略首選項的下拉菜單中選擇該選項。我已將其配置為
Computer Configuration\Preferences\Control Panel Settings\Local Users and Groups操作設置為“更新”。
