组策略：委托本地组成员身份的定义

在拥有活动目录的高度分支机构中，我正与IT部门负责人合作，并将控制权分配给相应的分支pipe理员。

我们的代表团概念目前处理组策略的方式是，我们创build一个在主控IT的控制下的组策略对象和一个分派给每个分支的分支pipe理员的组策略对象，这两个分支都与同一级别的分支OU相连，与 – 头GPO获取Enforced标志和1的链接顺序。

在定义本地组（通常只是像pipe理员或远程桌面用户这样的预先定义的组）时，我们面临的问题是委托相当棘手。 最终目标是拥有GPO在组中定义的任何内容，并在-branch成员资格定义中进行合并。 我们通过GPP来定义本地团体，如下所示：

我们正在刷新组成员身份，以确保已经通过GPP添加了一次，但被删除的组成员实际上已从客户的本地组中删除。

• Windows 10 UAC更改为一个特定的用户
• 将LDAP中的SSH用户限制在SSH堡垒中只有一个命令
• 什么会导致Active Directory连接尝试到工作站？
• 允许本地login自定义消息
• 我怎么知道我的哪个嵌套的AD组是用户的成员？

相同的组可能会通过GPP在-branch进行成员资格定义：

现在的结果是，只有最终的定义最终呈现在受影响的客户身上。 当使用Restricted Groups而不是GPP时，我们得到的结果几乎相同，因为Enforced链接标志为-head提供了-head GPO首选项。 并且，当将Restricted Groups与GPP在-branch上混合-branch ，我们看到不一致的结果 – 取决于哪个CSE首先运行（显然CSE的执行顺序未定义），组可能包含或不包含GPP定义的成员-branch 。

那么，集中执行某些成员资格的最明智的方法是什么，仍然允许分支机构的pipe理员？