Я пытаюсь внедрить ограниченную групповую политику для инфраструктуры AD моей компании, а именно стандартизировать локальную группу «Администраторы». В документации (и на различных веб-страницах) сказано, что политика «Члены этой группы» уничтожит группу «Администраторы». Однако эксперимент меня сбил с толку:
Я создал 2 объекта групповой политики:
Эксперимент 1: GPO-A применяется первым (порядок ссылки 2)
Все происходит, как ожидалось: GPO-A удаляет локальных администраторов и добавляет «Алису» и «Боб»; GPO-B добавляет «Чарли».
Эксперимент 2: GPO-B применяется первым
Что случается:
Мое замешательство: в Эксперимент 2, Я думал, что GPO-A полностью сотрет группу локальных администраторов, включая пользователей, добавленных GPO-B (поскольку GPO-A применяется после ГПО-Б). Как это бывает, он удаляет только локальных пользователей из локальных администраторов, но сохраняет пользователей домена.
Так и должно быть? Или я что-то неправильно делаю?
После обоих ваших экспериментов в локальной группе «Администраторы» будут одни и те же участники: Алиса, Боб и Чарли. Это не задокументированное поведение и не то, что я видел в своих тестах.
Так как KB279301 состояния,
любой текущий член группы с ограниченным доступом, которого нет в списке участников, удаляется, за исключением администратора в группе администраторов.
Я могу подтвердить на собственном опыте, что если члены группы настроены с помощью нескольких ограниченных групповых политик, остаются только те члены, которые настроены в GPO, который применяется последним.
Чтобы устранить неполадки и выяснить, почему вы видите другое поведение, включите ведение журнала групповой политики в gpsvc.log, как описано Вот.