Diretiva de Grupo: delegar a definição de membros do grupo local

Em uma organização muito ramificada com o Active Directory, estou trabalhando com o departamento de TI principal e estamos delegando o controle a partes da unidade organizacional da agência aos respectivos administradores da filial.

Nosso conceito de delegação atualmente lida com políticas de grupo de forma que criamos um objeto de diretiva de grupo sob o controle da cabeça IT e um objeto de diretiva de grupo delegado ao administrador da filial para cada uma das ramificações, ambas vinculadas no mesmo nível OU, com o -head GPO obtendo o sinalizador Enforced e a Ordem do link de 1.

Ao definir grupos locais (geralmente apenas grupos pré-definidos, como Administradores ou Usuários da Área de Trabalho Remota), estamos enfrentando o problema de ser complicado delegar. O objetivo final é ter o que o -head GPO definiu no grupo e mesclar nas definições de associação -branch . Estamos definindo grupos locais via GPP em -head assim:

EstamosliberandoasassociaçõesdegrupoparagarantirqueosmembrosdogrupoqueforamadicionadosumavezpormeiodoGPP,masremovidosdesdeentão,sejamrealmenteremovidosdosgruposlocaisdosclientes.

OmesmogrupopodeterdefiniçõesdeassociaçãofeitasporGPPem-branch:

Agora, o resultado é que somente a definição de -head está presente nos clientes afetados. Obtemos praticamente o mesmo resultado ao usar Restricted Groups em vez de GPPs, pois o sinalizador de% de Enforced está dando a preferência de -head do GPO sobre o -branch . E ao misturar Restricted Groups em -head com GPPs em -branch , estamos vendo resultados inconsistentes - dependendo de qual CSE está sendo executado primeiro (aparentemente a ordem de execução para CSEs é indefinida), os grupos podem ou não conter GPP- membros definidos de -branch .

Então, qual seria a maneira mais sensata de reforçar certas associações centralmente, permitindo a delegação aos administradores da filial?