Eu tenho uma situação em que temos um domínio pai / filho. Temos um grupo universal chamado Enterprise Admins com o PARENT \ Domain Admin neste grupo. Sob o grupo BUILD-IN \ Administrators da conta de domínio filho, colocamos os PARENT \ Enterprise Admins, o que nos deu direitos administrativos totais para o domínio filho remotamente.
O problema que enfrentamos é que queremos que os Administradores de domínio PARENT \ sejam adicionados aos administradores locais nos computadores sem a necessidade de criar uma conta local de domínio no domínio filho. Implementamos a Diretiva de Grupo Restrita para adicionar grupos Administradores do Domínio \ Administradores do Domínio e Administradores do Domínio \ ao grupo de administradores locais. Isso funcionou.
No entanto, com a política restritiva de grupo, qualquer administrador local personalizado que adicionarmos à caixa será removido e substituído pela política, isso é o que não queremos.
Como podemos adicionar o grupo Admin PARENT \ Domain aos clientes no domínio filho sem remover os existentes.
Você pode usar as Preferências de Diretiva de Grupo para atualizar os grupos internos \ Administradores nos computadores locais com as contas de domínio \ grupos que desejar. Isso não substituirá grupos / usuários existentes, a menos que você verifique explicitamente a opção de remover todos os outros membros do grupo.
Grupos restritos é a maneira antiga de fazer isso. O GPP é a nova maneira mais flexível.