我正在尝试为我公司的AD基础设施实施受限制的组策略,即标准化本地“pipe理员”组。 文档(和各种网页)说,“这个组的成员”政策将消灭“pipe理员”组。 然而,一个实验让我感到困惑:
我创build了2个GPO:
实验1:首先应用GPO-A (链接顺序2)
一切都按预期发生:GPO-A清除本地pipe理员并添加“Alice”和“Bob”被添加; GPO-B增加“查理”。
实验2:首先应用GPO-B
怎么了:
我的困惑:在实验2中 ,我认为GPO-A将完全清除本地pipe理员组,包括由GPO-B添加的用户(因为在 GPO-B 之后应用GPO-A)。 碰巧,它只从本地pipe理员中删除本地用户,但保留域用户。
那么,应该是这样吗? 还是我做错了什么?
经过两次实验之后,本地组pipe理员包含相同的成员:Alice,Bob和Charlie。 这不是logging的行为,也不是我在testing中看到的。
正如KB279301所述,
除pipe理员组中的pipe理员外,任何不在“成员”列表中的受限制组的成员都将被删除。
我可以从我自己的经验中确认,如果一个组的成员是通过多个受限组策略设置的,那么只有那些在最后应用的GPO中configuration的成员保持不变。
要排除故障,并找出为什么你看到一个不同的行为启用组策略logging到gpsvc.log 这里描述。