У меня есть несколько GPO, настроенных в нашем домене на работе, в одном GPO у меня есть группа, настроенная на роль локальных администраторов с помощью функции ограниченных групп. Однако, когда один из пользователей в этой группе входит в систему на одном из компьютеров в домене, он не может вносить административные изменения, такие как установка и удаление программ. Я дважды проверил GPO, и, похоже, все настроено правильно. Объект групповой политики связан и настроен для применения политик.
Обновить: Когда я вхожу на клиентский компьютер и запускаю gpresult / z, я получаю следующее:
Technology Department Configuration
Filtering: Not Applied (Empty)
Local Group Policy
Filtering: Not Applied (Empty)
Почему он говорит, что он пустой? Я что-то забываю? Я смотрю на все GPO, которые есть в нашем домене, и их всего 5, каждый из которых применяется только к определенным группам. Эти пользователи входят в группу технологического отдела и связаны только с одним GPO. Я не вижу, где что-то может быть противоречивым? Единственные фильтры, которые есть в этой группе, - они добавляются в группу «Пользователи удаленного рабочего стола», в «Разрешить локальный вход», в «Разрешить вход через службы терминалов» и были настроены для локального администратора через группы с ограниченным доступом.
Запрещенные группы gpo применяются к компьютерам, а не к пользователям. Если вы хотите использовать Домен группа безопасности, чтобы указать, к каким компьютерам следует применять GPO, к этому нужно добавить компьютеры в области действия Домен группа безопасности.
Что нужно проверить:
gpresult /z
и убедитесь, что политика применяется к этому компьютеру. - Если нет, то ваша политика либо связана с неправильным подразделением, либо политика ограничена так, что она не применяется к клиенту (т.е. фильтруется по членству в группе). Также есть графический интерфейс в GPMC (который будет установлен на DC), позволяющий это сделать.В вашем вопросе говорится, что один пользователь не получает прав администратора при входе в систему, что подразумевает, что это делают другие пользователи? Пробовали ли другие пользователи на этом самом компьютере? Если да, и другие пользователи действительно получают права администратора, как и ожидалось, входит ли эта конфигурация в ту же политику? Если да, дважды проверьте членство в группе. Опять же, проверьте журналы событий, так как это может дать некоторые важные подсказки относительно того, где проблема.
В качестве побочного примечания: обычно вам не нужно применять политики, если только у вас нет конфликтующих политик выше в иерархии. Политики применяются в следующем порядке. Локальный, Сайт, Домен, затем OU (начиная с корня), членом которых является компьютер / пользователь, причем последняя примененная политика отменяет любые предыдущие конфликты, если, конечно, вы не используете параметр «принудительно», и в этом случае, первая примененная «принудительная» настройка победит.
Из предоставленной вами информации трудно понять, в чем заключается проблема, но если вы можете отредактировать свой вопрос, чтобы добавить дополнительные сведения, демонстрируя, что вы проверили (и нашли), это поможет нам поставить лучший диагноз.