Confusão do Grupo Restrito do Active Directory

1

Estou tentando implementar a política de Grupo restrito para a infraestrutura de AD da minha empresa, padronizando o grupo "Administradores" local. A documentação (e várias páginas da Web) dizia que a política "Membros deste grupo" eliminaria o grupo "Administradores". No entanto, uma experiência me deixou confuso:

Eu criei 2 GPOs:

  • O GPO-A substitui os administradores locais por uma lista de usuários do domínio (por exemplo, "Alice" e "Bob")
  • GPO-B insere um usuário do domínio (por exemplo, "Charlie" - não faz parte do GPO A) nos Administradores Locais

Experiment 1: GPO-A gets applied first (link order 2)

Tudo acontece conforme o esperado: o GPO-A limpa os administradores locais e adiciona "Alice" & "Bob" é adicionado; GPO-B adiciona "Charlie".

Experiment 2: GPO-B is applied first

O que acontece:

  1. "Charlie" é adicionado ao grupo Administradores locais (que também contém dois usuários locais)
  2. Os usuários locais no PC são excluídos e "Alice" e "Bob" são adicionados.
  3. Resultado: os administradores locais contêm "Alice", "Bob" e "Charlie"

Minha confusão: No Experimento 2 , pensei que o GPO-A apagaria totalmente o grupo Administradores Locais, incluindo os usuários adicionados pelo GPO-B (desde que o GPO-A é aplicado após GPO-B). Acontece que apenas apaga usuários locais dos administradores locais, mas mantém os usuários do domínio.

Então, é assim que deveria ser? Ou estou fazendo algo incorretamente?

    
por pepoluan 04.04.2012 / 10:01

1 resposta

1

Após as duas experiências, o grupo local Administradores contém os mesmos membros: Alice, Bob e Charlie. Esse não é o comportamento documentado e nem o que eu vi nos meus testes.

Como KB279301 declara

any current member of a restricted group that is not on the Members list is removed with the exception of administrator in the Administrators group.

Posso confirmar, por experiência própria, que, se os membros de um grupo forem definidos por meio de várias políticas de grupo restritas, apenas esses membros permanecerão configurados no último GPO aplicado.

Para solucionar problemas e descobrir por que você está vendo um comportamento diferente, ative o log de diretiva de grupo no gpsvc.log, conforme descrito aqui .

    
por 04.04.2012 / 11:50