Usando o Server 2012 r2 no ambiente de domínio, estou tentando adicionar grupos específicos de usuários ao grupo Administradores (locais) a computadores organizados em UOs usando o GPP e a segmentação no nível do item.
Enquanto o GPO mostra que está aplicando (via gpresult), a associação do grupo Administradores não é alterada. Eu até coloquei uma OU de teste na parte superior do domínio e desativei a herança. Eu sei que posso usar grupos restritos, mas vai ser uma dor para o conjunto de escopos que precisamos. Para testar isso, configurei grupos restritos no mesmo GPO e ele funciona bem.
Para encurtar a história, o GPP pode realmente ser usado para definir a associação local de Administradores?
Atualização: o teste forneceu os seguintes resultados;
Se eu colocar uma configuração de grupo restrito no mesmo GPO, essa alteração entrará em vigor. (Segue a ordem correta do LSDOU)
Parte mais interessante: Quando tento usar o GPP, posso alterar a descrição do grupo de administradores local, mas a associação não muda.
Eu sei que semi-recentemente (no ano passado ou mais) MS lançou uma atualização que desativou a capacidade de alterar as senhas de administrador local via GPO, alguém sabe se ele também quebrou essa habilidade GPP também? Ou, alternativamente, alguém está usando isso para definir grupos com uma versão atualizada do 2012 R2?
