GPO - 應用受限組,但實際上並未添加組
下面的場景很奇怪。請注意。
我在包含這樣的工作站的 OU 上創建了一個 GPO:
此 GPO 的目的是使 Backup Operators 組成為 OU 內所有工作站上本地 Administrators 組的成員。
以下是此 GPO 的內容:
然後,當我檢查 GPO 是否在應用 GPO 的組織單位 (OU) 內的工作站上使用gpresult應用時,我可以看到它已正確應用在該工作站上:
但是當我檢查工作站上的本地組時,在本地管理員組中,我應該在其中看到 Backup Operators 組,但沒有:
即使在gpupdate /force然後重新啟動之後,我也會得到相同的結果。
我做錯了什麼嗎?
編輯:
這是我在執行gpudpate /force後在事件查看器中得到的:
Security policies were propagated with warning. 0x4b8 : An extended error has occurred. For best results in resolving this event, log on with a non-administrative account and search http://support.microsoft.com for "Troubleshooting Event 1202's".
哼,你要自取其辱了!
“Backup Operators”是一個內置的域本地安全組。
根據我老化的 MCSE,域本地安全組不能是另一個組的成員。
它是一個所謂的“端點”組,只能應用於 DACL 等。
雖然我最終同意@adaptr,但這是無法做到的,對術語進行一些澄清可能會有所幫助。
您可以創建域本地安全組並嵌套它們。它可能取決於域功能級別(我們的是 2000,不是最新的),它可能取決於伺服器版本(我們執行 2003/2008R2),但可以完成。
但是,MS 預設內置組(本地和域)具有限制嵌套。
“您不能將位於 Builtin 容器中的預設組作為成員添加到其他組。但是,您可以將其他組作為成員添加到位於 Builtin 容器中的預設組中。”
http://technet.microsoft.com/en-us/library/cc776499(WS.10).aspx
Administrator 和 Backup Operators 組都在域 Builtin OU 中,這似乎也適用於客戶端(本地使用者和組)。