GPO - Grupos restritos que se inscrevem, mas na verdade não adicionam o grupo

2

O cenário a seguir é estranho. Por favor, seja avisado.

Eu criei um GPO em uma UO que contém estações de trabalho como esta:

EstafinalidadedoGPOéfazercomqueosOperadoresdeBackupagrupemummembrodogrupoAdministradoreslocalemtodasasestaçõesdetrabalhodentrodaUO.

Este é o conteúdo deste GPO:

Então,quandoverificoseoGPOéaplicadousandogpresultemumaestaçãodetrabalhodentrodaUOemqueoGPOéaplicado,possoverqueeleestáaplicadocorretamentenessaestaçãodetrabalho:

Mas quando vou verificar o grupo local na estação de trabalho, no grupo Administradores local, eu devo ver o grupo Operadores de Backup dentro dele, mas não:

Mesmodepoisdeumgpupdate/forceseguidodeumareinicialização,acabocomomesmoresultado.

Eufizalgoerrado?

EDITAR:

IssoéoqueeurecebonoVisualizadordeEventosdepoisdefazerumgpudpate/force:

Securitypolicieswerepropagatedwithwarning.0x4b8:Anextendederrorhasoccurred.Forbestresultsinresolvingthisevent,logonwithanon-administrativeaccountandsearchhttp://support.microsoft.comfor"Troubleshooting Event 1202's".
    
por Jonathan Rioux 20.12.2011 / 15:07

3 respostas

3

Heh, você vai se dar um tapa!

"Backup Operators" é um grupo de segurança domínio local .

De acordo com meu antigo MCSE, um grupo de segurança local de domínio não pode ser membro de outro grupo.

É um grupo denominado "endpoint" e só pode ser aplicado a DACLs e afins.

    
por 20.12.2011 / 15:12
3

Embora eu concorde em última análise com @adaptr, isso não pode ser feito, alguns esclarecimentos de terminologia podem ser úteis.

Você pode criar grupos de segurança locais de domínio e aninhá-los. Pode depender do nível de função do domínio (o nosso é 2000, não muito atual) e pode depender da versão do servidor (nós executamos 2003 / 2008R2), mas isso pode ser feito.

No entanto, os grupos incorporados padrão do MS, locais e de domínio, têm um aninhamento restrito.

"Não é possível adicionar os grupos padrão localizados no container Builtin como membros de outros grupos. No entanto, você pode adicionar outros grupos como membros aos grupos padrão localizados no container Builtin."

link

Os grupos Administrador e Operadores de Backup estão na UO Incorporada do domínio, e isso parece se aplicar também aos clientes (usuários locais e grupos).

    
por 20.12.2011 / 22:22
0

Parece para trás para mim. Eu sempre adicionei o grupo "Administradores" ao GPO de grupos restritos e adicionei os membros apropriados. Lembre-se de que isso substituirá o que está lá, portanto, adicione novamente os administradores do domínio.

Na verdade, há outro GPO que está adicionando administradores de domínio ao grupo Administradores? Isso poderia estar sobrescrevendo esse GPO se aplicado depois. Por exemplo, a política de domínio padrão.

    
por 20.12.2011 / 16:39