Windows-Server-2003

GPO - 應用受限組,但實際上並未添加組

  • December 20, 2011

下面的場景很奇怪。請注意。

我在包含這樣的工作站的 OU 上創建了一個 GPO:

在此處輸入圖像描述

此 GPO 的目的是使 Backup Operators 組成為 OU 內所有工作站上本地 Administrators 組的成員。

在此處輸入圖像描述

以下是此 GPO 的內容:

在此處輸入圖像描述

然後,當我檢查 GPO 是否在應用 GPO 的組織單位 (OU) 內的工作站上使用gpresult應用時,我可以看到它已正確應用在該工作站上:

在此處輸入圖像描述

但是當我檢查工作站上的本地組時,在本地管理員組中,我應該在其中看到 Backup Operators 組,但沒有:

在此處輸入圖像描述

即使在gpupdate /force然後重新啟動之後,我也會得到相同的結果。

我做錯了什麼嗎?

編輯:

這是我在執行gpudpate /force後在事件查看器中得到的:

Security policies were propagated with warning. 0x4b8 : An extended 
error has occurred.

For best results in resolving this event, log on with a 
non-administrative account and search http://support.microsoft.com 
for "Troubleshooting Event 1202's".

哼,你要自取其辱了!

“Backup Operators”是一個內置的域本地安全組。

根據我老化的 MCSE,域本地安全組不能是另一個組的成員。

它是一個所謂的“端點”組,只能應用於 DACL 等。

雖然我最終同意@adaptr,但這是無法做到的,對術語進行一些澄清可能會有所幫助。

您可以創建域本地安全組並嵌套它們。它可能取決於域功能級別(我們的是 2000,不是最新的),它可能取決於伺服器版本(我們執行 2003/2008R2),但可以完成。

但是,MS 預設內置組(本地和域)具有限制嵌套。

“您不能將位於 Builtin 容器中的預設組作為成員添加到其他組。但是,您可以將其他組作為成員添加到位於 Builtin 容器中的預設組中。”

http://technet.microsoft.com/en-us/library/cc776499(WS.10).aspx

Administrator 和 Backup Operators 組都在域 Builtin OU 中,這似乎也適用於客戶端(本地使用者和組)。

引用自:https://serverfault.com/questions/342732