У меня ситуация, когда у нас есть родительский / дочерний домен. У нас есть универсальная группа под названием Enterprise Admins с администратором PARENT \ Domain в этой группе. Под учетной записью дочернего домена BUILD-IN \ Administrators мы разместили PARENT \ Enterprise Admins, это дало нам полные административные права на дочерний домен удаленно.
Проблема, с которой мы сталкиваемся, заключается в том, что мы хотим, чтобы администраторы PARENT \ Domain были добавлены к локальным администраторам компьютеров без необходимости создавать локальную учетную запись домена в дочернем домене. Мы реализовали ограниченную групповую политику, чтобы добавить группы PARENT \ Domain Admins и CHILD \ Domain Admins в группу локальных администраторов, это сработало.
Однако с помощью ограничительной групповой политики любые настраиваемые локальные администраторы, которые мы добавляем в поле, удаляются и заменяются политикой, это то, чего мы не хотим.
Как мы можем добавить группу PARENT \ Domain Admin к клиентам в дочернем домене, не удаляя существующие.
Вы можете использовать настройки групповой политики для обновления групп Built-in \ Administrators на локальных компьютерах любыми учетными записями домена, которые вам нужны. Это не заменит существующие группы \ пользователей, если вы явно не отметите опцию удаления всех остальных членов группы.
Ограниченные группы - это старый способ сделать это. GPP - это новый, более гибкий способ.