Usando o GPP para definir os administradores locais

1

Usando o Server 2012 r2 no ambiente de domínio, estou tentando adicionar grupos específicos de usuários ao grupo Administradores (locais) a computadores organizados em UOs usando o GPP e a segmentação no nível do item.

Enquanto o GPO mostra que está aplicando (via gpresult), a associação do grupo Administradores não é alterada. Eu até coloquei uma OU de teste na parte superior do domínio e desativei a herança. Eu sei que posso usar grupos restritos, mas vai ser uma dor para o conjunto de escopos que precisamos. Para testar isso, configurei grupos restritos no mesmo GPO e ele funciona bem.
Para encurtar a história, o GPP pode realmente ser usado para definir a associação local de Administradores?

Atualização: o teste forneceu os seguintes resultados;

  • Na árvore da UO, se eu tiver um grupo restrito definido como superior, essa alteração entrará em vigor.
  • Se eu colocar uma configuração de grupo restrito no mesmo GPO, essa alteração entrará em vigor. (Segue a ordem correta do LSDOU)

  • Parte mais interessante: Quando tento usar o GPP, posso alterar a descrição do grupo de administradores local, mas a associação não muda.


Eu sei que semi-recentemente (no ano passado ou mais) MS lançou uma atualização que desativou a capacidade de alterar as senhas de administrador local via GPO, alguém sabe se ele também quebrou essa habilidade GPP também? Ou, alternativamente, alguém está usando isso para definir grupos com uma versão atualizada do 2012 R2?

    
por Ijustpressbuttons 24.09.2015 / 19:56

1 resposta

2

Certifique-se de escolher a opção Administrators (built-in) no menu suspenso da Preferência de Diretiva de Grupo.

Eu tenho isso configurado em Computer Configuration\Preferences\Control Panel Settings\Local Users and Groups com a ação definida como "Atualizar".

    
por 24.09.2015 / 20:06