none
「限制性群組」將Administrators加入Domain user後發現問題 RRS feed

  • 問題

  • 請問:

    在GPO裡將「限制性群組」將Administrators加入Domain user後,發現兩個問題,

    1、我的Client原本有一些user帳號(Domain或本機皆有)是屬於Client本機Administrator群組,在更改GPO後,全部都被GPO overwrite成限制性群組的設定,不知是否有方法可解決?

    2、在新增限制性群組後,就算限制性群組取消了,Client端的Administrators群組仍維持相同的user,也就是Domain每一 個人仍然為任一台電腦的Administrator,感覺起來好像覆水難收,在安全控管上不是很好,請教是否有Solution可解決!


    HANCE

    • 已編輯 AChange 2013年5月29日 上午 05:36 修改適當標題, 標題與內文相同, 原標題: 「限制性群組」將Administrators加入Domain user後,發現兩個問題
    2013年5月29日 上午 05:19

解答

  • 以GPO改變了相關設定後, 客戶端就會採用GPO所提供的資訊,

    所以問題1沒有所謂"解決"的辦法...因為這好像是最正常不過的事噢..除非把GPO項目取消設定

    再問題2中你也嘗試這樣做了, 而且原有本機帳號回復成以往的樣子.

    其實這是因為GPO並沒有把本機設定"覆蓋"過去, 而是兩組設定並排而行, 但GPO永遠有較高的優先套用次序

    而要解決你想要設定好的本機管理員成員, 其實可以用Group Policy Preference(GPP)裡的Local Users and Groups Extension

    http://technet.microsoft.com/en-us/library/cc731972.aspx

    使用GPP有一定條件, Windows Server 2003 / XP / Vista等等需要先安裝客戶端套件, 詳情稱參考

    http://technet.microsoft.com/en-us/library/cc731892(v=ws.10).aspx


    邊幫助, 邊鍛鍊

    • 已提議為解答 AChange 2013年6月4日 上午 01:38
    • 已標示為解答 AChange 2013年6月4日 下午 12:41
    2013年5月30日 上午 02:12