こんにちは、お世話になっております。
セキュリティポリシー(グループポリシー)で、複数のアカウントを登録するようなエントリについて(たとえば、"バッチ ジョブとしてログオンさせる権利")、ドメインのポリシーで定義していると、各々のメンバサーバーでのローカルポリシー編集画面では操作できなくなりますが、たとえば次のような運用はADの仕組み上できないと解釈して正しいでしょうか?
「グループポリシーのうち、複数アイテム(アカウントなど)登録する項目について、ドメインポリシーでドメイン内共通の設定をし、さらに各メンバサーバにおいてアイテム(アカウントなど)を追加登録させる、といった運用はできない」
もし、ドメイン上で定義・配布されたポリシーについて、ローカル側でさらに追加(ドメイン上の定義削除は当然できなくてOKです)する方法がありましたらその方法を、無理なら無理である旨ご教示いただけますと幸いです。
サーバごとに少しでも異なる定義で運用したいポリシー項目は、ドメインポリシーで定義してはダメということになるでしょうか?