Назад | Перейти на главную страницу

GPO - группы с ограниченным доступом применяются, но фактически не добавляют группу

Следующий сценарий выглядит странным. Пожалуйста, имейте в виду.

Я создал GPO в OU, содержащем такие рабочие станции:

Цель этого объекта групповой политики - сделать группу операторов резервного копирования членом локальной группы администраторов на всех рабочих станциях внутри подразделения.

Вот содержание этого GPO:

Затем, когда я проверяю, применяется ли объект групповой политики, используя gpresult на рабочей станции внутри организационной единицы (OU), к которой применяется GPO, я вижу, что он правильно применен на этой рабочей станции:

Но когда я проверяю локальную группу на рабочей станции в группе локальных администраторов, я должен видеть внутри нее группу операторов резервного копирования, но нет:

Даже после gpupdate / force с последующей перезагрузкой, я получаю тот же результат.

Я сделал что-то не так?

РЕДАКТИРОВАТЬ:

Это то, что я получаю в средстве просмотра событий после того, как gpudpate / force:

Security policies were propagated with warning. 0x4b8 : An extended 
error has occurred.

For best results in resolving this event, log on with a 
non-administrative account and search http://support.microsoft.com 
for "Troubleshooting Event 1202's".

Хотя я в конечном итоге согласен с @adaptr, это невозможно, но некоторые пояснения терминологии могут быть полезны.

Вы можете создавать локальные группы безопасности домена и вкладывать их. Это может зависеть от уровня функции домена (у нас 2000, не очень актуальный) и может зависеть от версии сервера (мы запускаем 2003 / 2008R2), но это можно сделать.

Однако встроенные группы MS по умолчанию, как локальные, так и доменные, имеют ограниченное вложение.

«Вы не можете добавлять группы по умолчанию, которые находятся во встроенном контейнере, в качестве членов в другие группы. Однако вы можете добавлять другие группы в качестве членов в группы по умолчанию, которые находятся во встроенном контейнере».

http://technet.microsoft.com/en-us/library/cc776499(WS.10).aspx

Группы администраторов и операторов резервного копирования находятся во встроенном подразделении домена, что, по-видимому, применимо и к клиентам (локальным пользователям и группам).

Хех, ты себя накроешь!

«Операторы резервного копирования» - это встроенный Локальный домен группа безопасности.

Согласно моему стареющему MCSE, локальная группа безопасности домена не может быть членом другой группы.

Это так называемая группа «конечных точек», которая может применяться только к спискам DACL и т.п.

Мне кажется, наоборот. Я всегда добавлял группу «Администраторы» в GPO групп с ограниченным доступом и добавлял соответствующих участников. Имейте в виду, что это перезапишет то, что там есть, поэтому не забудьте снова добавить администраторов домена.

Собственно, существует ли еще один объект групповой политики, который добавляет администраторов домена в группу администраторов? Это может привести к перезаписи этого объекта групповой политики, если применить его позже. Например, политика домена по умолчанию.