GPO - группы с ограниченным доступом применяются, но фактически не добавляют группу
Следующий сценарий странный. Доводим до вашего сведения.
Я создал объект групповой политики в подразделении, содержащем рабочие станции, например:
Цель этого объекта групповой политики - сделать группу "Операторы архива" членом локальной группы "Администраторы" на всех рабочих станциях внутри подразделения.
Вот содержание этого объекта групповой политики:
Затем, когда я проверяю, применяется ли объект групповой политики с помощью gpresult на рабочей станции внутри организационной единицы (OU), к которой применяется объект групповой политики, я вижу, что он правильно применяется на этой рабочей станции:
Но когда я иду проверить локальную группу на рабочей станции, в локальной группе администраторов, я должен увидеть внутри группу "Операторы резервного копирования", но нет:
Даже после gpupdate / force с последующей перезагрузкой я получаю тот же результат.
Я сделал что-то не так?
РЕДАКТИРОВАТЬ:
Это то, что я получаю в Event Viewer после того, как я делаю gpudpate / force:
Security policies were propagated with warning. 0x4b8 : An extended
error has occurred.
For best results in resolving this event, log on with a
non-administrative account and search http://support.microsoft.com
for "Troubleshooting Event 1202's".
3 ответа
Хех, ты собираешься ударить себя!
"Операторы резервного копирования" - это встроенная группа безопасности домена.
Согласно моему устаревшему MCSE, локальная группа безопасности домена не может быть членом другой группы.
Это так называемая группа "конечных точек", и она может применяться только к спискам DACL и т.п.
Хотя в конечном итоге я согласен с @adaptr, это невозможно, но некоторые пояснения по терминологии могут быть полезны.
Вы можете создавать доменные локальные группы безопасности и вкладывать их. Это может зависеть от уровня функции домена (у нас 2000, не очень актуально), и это может зависеть от версии сервера (мы запускаем 2003/2008R2), но это можно сделать.
Однако встроенные группы MS по умолчанию, как локальные, так и доменные, имеют ограниченную вложенность.
"Вы не можете добавить группы по умолчанию, которые расположены в контейнере Builtin, в качестве членов к другим группам. Однако вы можете добавить другие группы в качестве членов к группам по умолчанию, которые расположены в контейнере Builtin".
http://technet.microsoft.com/en-us/library/cc776499(WS.10).aspx
Группы "Администратор" и "Операторы архива" находятся в доменном встроенном подразделении, это также может относиться к клиентам (локальным пользователям и группам).
Кажется назад для меня. Я всегда добавлял группу "Администраторы" в групповой объект с ограниченным доступом и добавлял соответствующих членов. Имейте в виду, это перезапишет то, что есть, поэтому убедитесь, что вы снова добавили администраторов домена.
На самом деле, есть ли еще один объект групповой политики, который добавляет администраторов домена в группу администраторов? Это может перезаписать этот объект групповой политики, если применяется после. Например, политика домена по умолчанию.