Hi,
Ограниченные политики групп не сольют… Я намереваюсь, если вы создаете нескольк GPOs содержа ограниченные установки групп для того чтобы контролировать такую же местную группу, то последнее прикладное GPO переписываю ранее делали.
В действительности, ограниченное усилие политики группы содержание местной группы, котор нужно сопрягать точно точно сделано в GPO, ничего больше, ничего.
Так если вы реально хотите использовать ограниченные группы для достижения вашей цели, то вы должны обеспечить что для специфически местной группы только ОДНО GPO применяется на каждом сервере и что усилие GPO все содержание местной группы.
Вы можете использовать несколько ограниченных групп GPO для того чтобы контролировать несколько местных групп до тех пор пока 2 из этих GPOs никогда не подействовать одно такой же местной группой.
Если я понял наилучшим образом ваш случай, котор вы хотите некоторые специфически глобальные группы быть членом зависеть местной группы Admin положения, другая специфически глобальная группа если сервер будет член «группы компьютеров серверов DB»…, то
По моему мнению это кажется невозможным для того чтобы получить разумно дорогой using ограниченные группы, потому что вы были бы усилием для того чтобы иметь одно GPO для каждых положения сочетание из и типа сервера.
И больше типов сервера вы имеете, котор они по возможности потому что число комбинаций степенн.
По моему мнению, только scripting может дать вам хорошее разрешение. Препятствуйте нам представить то:
1) вы имеете первое GPO содержать startup сценарий извлекает все глобальные группы в «администраторах» и добавляет группу корпоративных admins глобальную только.
2) вы имеете другие GPO содержать startup сценарий добавляют группу admins города глобальную в зависеть местной группы «администраторов» места ОБЪЯВЛЕНИЯ (примера: одно GPO в место ОБЪЯВЛЕНИЯ или только одно GPO но с зависеть сценария действующ по-разному места ОБЪЯВЛЕНИЯ).
3) вы имеете третье GPO добавляет «группу admins DB» глобальную к группе «администраторов» местной.
4) вы имеете четвертое GPO добавляет «группу admins стержня» глобальную к группе «администраторов» местной.
После этого вы делаете вещи на приоритете GPO так, что первое GPO будет прикладной вначале.
Для третьего GPO вы используете группу фильтруя для того чтобы приложить GPO только если сервер будет членом «серверов DB», то
Для четвертого GPO вы используете группу фильтруя для того чтобы приложить GPO только если сервер будет членом «серверов стержня», то
Применяясь заказ между 2-ым, 3-им и 4-ым GPOs не важн потому что эти сценарии только добавляют новые члены в «администраторах» и не извлекают ничего
Другая дорога иметь уникально сценарий делает испытания членств и действует по-разному зависеть членства сервера. Это упрощает структуру GPO но делает сценарий более осложнять.
Проблема если вы используете scripting, то что «startup сценарии» только бегут раз на запуске сервера. Так изменения в группах «администраторов» только применятся или повторно обратятся на reboot.
Имейте хороший день.
