使用GPP设置本地pipe理员

在域环境中使用Server 2012 R2，我试图将特定的用户组添加到OU中使用GPP和项目级别定位的计算机中的pipe理员（本地）组。

当GPO显示它正在应用（通过gpresult）时，pipe理员组成员身份不会更改。 我甚至在域顶部放置了一个testingOU，并禁用了inheritance。 我知道我可以使用受限制的组，但是对于我们需要的一组范围，这将是一个痛苦。 为了testing这个，我在同一个GPO中设置了受限组，并且工作正常。
长话短说，GPP实际上可以用来设置本地pipe理员成员吗？

更新：testing提供了以下结果;

• 在OU树中，如果我将限制组设置得较高，那么更改将生效。

• 如果我在同一GPO中放置受限制的组设置，则更改将生效。 （遵循正确的LSDOU命令）

  • 可能的DNS服务器内存泄漏
  • GPO部署本地pipe理员
  • Powershell从dynamic通讯组列表中排除组成员
  • 如何将远程位置的员工joinActive Directory？
  • 如果我只使用Kerberos进行身份validation，Active Directory使用的是LDAP吗？

• 最有趣的部分：当我尝试使用GPP时，我可以更改本地pipe理员组说明，但是成员资格不会更改。

我知道半年前（在去年左右），MS推出了一个更新，禁止通过GPO更改本地pipe理员密码的能力，谁知道是否也打破了GPP的能力？ 或者，是否有人使用它来设置2012 R2更新版本的组？