服务器 Gind.cn
  1. 服务器 Gind.cn
  3. GPO – 限制组应用,但不实际添加组
Intereting Posts
移动交换邮箱跨森林 Vista中的每用户login.cmd? 上限内存限制apache 了解arp请求tcpdump SQL服务器启动使在线数据库优先 Apache反向代理设置 是取决于互联网访问samba共享 apt-get删除没有正确安装的软件包 IIS自签名> 1年 将旧的T1添加到新的configuration Windows Active Directory和Linux集成:新的AD Group不会在Linux中显示 letsencrypt工作www但不是根域(apache) Exchange Server与IMAP 转发时启用SRS才能启用DMARC Postfix,为托pipe网站设置SMTP

GPO – 限制组应用,但不实际添加组

以下情况很奇怪。 请注意。

我在包含这样的工作站的OU上创build了一个GPO:

在这里输入图像说明

此GPO的目的是使备份操作员组成为OU内所有工作站上本地Administrators组的成员。

在这里输入图像说明

这是这个GPO的内容:

在这里输入图像说明

然后,当我检查GPO是应用GPO应用在组织单位(OU)内的工作站上使用gpresult ,我可以看到,它正确地应用在该工作站上:

在这里输入图像说明

但是,当我去检查工作站上的本地组,在本地pipe理员组中,我应该看到里面的备份操作员组,但没有:

在这里输入图像说明

即使在gpupdate / force之后重启,我也会得到相同的结果。

我做错了什么?

编辑:

这是我做了一个gpudpate / force后,在事件查看器中得到的: 

Security policies were propagated with warning. 0x4b8 : An extended error has occurred. For best results in resolving this event, log on with a non-administrative account and search http://support.microsoft.com for "Troubleshooting Event 1202's".

呃,你要打巴掌!

“备份操作员”是一个内置的域本地安全组。

根据我的老化MCSE,域本地安全组不能成为另一个组的成员。

它是一个所谓的“端点”组,只能应用于DACL等。

虽然我最终同意@adaptr,但这是不能做的,一些术语的澄清可能会有所帮助。

您可以创build域本地安全组并将其嵌套。 它可能取决于域function级别(我们是2000年,不是很当前),它可能取决于服务器版本(我们运行2003 / 2008R2),但可以完成。

然而MS默认的内置组(本地和域)限制了嵌套。

“不能将位于”内置“容器中的默认组作为成员添加到其他组,但可以将其他组作为成员添加到位于”内置“容器中的默认组。

http://technet.microsoft.com/en-us/library/cc776499(WS.10).aspx

pipe理员和备份操作员组都在域Builtin OU中,这似乎也适用于客户端(本地用户和组)。

似乎倒退到我身上。 我总是将“pipe理员”组添加到受限制的组GPO并添加相应的成员。 请记住,这将覆盖在那里,所以请确保您添加域pipe理员回来。

其实,是否有另一个GPO将域pipe理员添加到pipe理员组? 如果之后应用,可能会覆盖此GPO。 例如,默认的域策略。