Использование GPP для настройки локальных администраторов
Используя Server 2012 r2 в среде домена, я пытаюсь добавить определенные группы пользователей в группу администраторов (локальную) на компьютеры, организованные в подразделения с использованием GPP и таргетинга на уровне элементов.
Хотя объект групповой политики показывает, что он применяется (через gpresult), членство в группе администраторов не меняется. Я даже поместил тестовое подразделение поверх домена и отключил наследование. Я знаю, что могу использовать группы с ограниченным доступом, но это будет затруднительно для нужного нам набора областей. Чтобы проверить это, я установил ограниченные группы в одном объекте групповой политики, и он отлично работает.
Короче говоря, можно ли использовать GPP для настройки членства локальных администраторов?
Обновление: тестирование дало следующие результаты;
- В дереве OU, если у меня установлена ограниченная группа выше, это изменение вступает в силу.
Если я помещаю параметр ограниченной группы в тот же объект групповой политики, это изменение вступает в силу. (В соответствии с порядком LSDOU)
Самое интересное: Когда я пытаюсь использовать GPP, я могу изменить описание локальной группы администраторов, но членство не меняется.
Я знаю, что совсем недавно (в течение прошлого года или около того) MS выпустила обновление, которое отключило возможность изменять пароли локальных администраторов через GPO, кто-нибудь знает, нарушило ли оно эту способность GPP? Или, в качестве альтернативы, кто-нибудь использует это для установки групп с обновленной версией 2012 R2?
Убедитесь, что вы выбрали Administrators (built-in) из раскрывающегося меню предпочтений групповой политики.
Я настроил это на Computer Configuration\Preferences\Control Panel Settings\Local Users and Groups с действием, установленным на «Обновить».
