关于组策略的“受限制的组”

为便于说明问题，请首先阅读以下文章：

http://allcomputers.us/windows_server/windows-server-2008-r2---managing-active-directory-with-policies-(part-2)---configuring-restricted-groups-for-domain-security-groups.aspx

文中描述了两种情况：

1、指定域内客户端的某Builtin本地组的成员的方法。

      也就是说实现客户端某Builtin本地组（如Administrators组）只能包含有你指定的成员（如zhangsan域用户）或组（helpdesk组），多也不行，少也不行，本地管理员组被人加入或者减少用户都不行，组策略刷新后恢复指定组成员。“这个组隶属于”不配置

2、将组（非Builtin组，如helpdesk组）加入到域内客户端的某Builtin本地组（如Administrators组）的方法。

      也就是说实现客户端某Builtin本地组（如Administrators组）增加你指定的组（如helpdesk组，无法单独增加用户，可以建组，将用户加入组来实现）。而这个组的成员是通过“AD用户和计算机”控制台添加的，如：zhangsan用户加入到helpdesk组。“这个组的成员”不配置。

 

3、考虑第3种情况，将组（非Builtin组，如helpdesk组）加入到加入到客户端的某本地组，同时配置：“这个组的成员”，将zhangsan用户加入。“这个组隶属于”，将Administrators组加入。而zhangsan用户没有通过“AD用户和计算机”控制台添加到helpdesk组。

     结果是什么呢？

    第3种情况的结果是：域内创建的组（如helpdesk）能够加入客户端的某本地组（如Administrators组），但是zhangsan这个用户并没有获得本地管理员权限。

 

4、考虑第4种情况，将域内客户端的某Builtin本地组（如Guests）加入到另外的某Builtin本地组（如Administrators组），此种情况由于受到builtin组的已经存在的关系，不受支持。

 

最终结论：“受限制的组”不能同时配置“这个组的成员”“这个组隶属于”两个属性。

 

经过测试，得出以上结论，未必完全正确，如有错误，请指正。