我有一个情况,我们有一个父/子域。 我们有一个名为Enterprise Admins的通用组,在这个组中有PARENT \ Domain Admin。 在子域帐户BUILD-IN \ Administrators组下,我们放置了PARENT \ Enterprise Admins,这给了我们对子域的远程pipe理权限。
我们遇到的问题是,我们希望将PARENT \ Domain Admins添加到本地pipe理员到计算机,而无需在子域上创build域本地帐户。 我们实施了受限制的组策略,将PARENT \ Domain Admins和CHILD \ Domain Admins组添加到本地pipe理员组中,这工作。
但是,在限制性组策略中,我们添加到框中的任何自定义本地pipe理员都将被删除,并由策略取代,这是我们不想要的。
我们如何将PARENT \ Domain Admin组添加到子域上的客户端而不删除现有的域。
您可以使用组策略首选项来更新本地计算机上的内置\ Administrators组,并使用任何您想要的域帐户\组。 这不会replace现有的组\用户,除非您明确选中删除所有其他组成员的选项。
受限制的团体是老派的做法。 GPP是新的更灵活的方式。