组策略之受限组理解于应用

    Do you have users of Windows 2000 and XP Professional computers removing the Domain Administrators group from the local Administrators group on their computer? Do you need to have a special user account placed in the Administrator group of every computer on the network for remote administrative functions?

    很不幸，我碰到了相同的问题。那么就来看看Restricted Groups这个策略能带来什么效果吧。

    试验环境：
    1、Server 2003和XP（客户端计算机名xp1、原始的域用户帐号也为xp1）。
    2、创建OU取名为computer，将客户端电脑移动到该OU内。

    提示：
    1、受限组的策略是应用在计算机帐户上的，所以请确保OU内的是计算机帐户而非用户帐户。
    2、良好的习惯是不在Default Domain Policy 和 Default Domain Controller Policy内设置组策略。

    在Computer OU上建立组策略，取名为Restricted Groups，如图1

图1

    选中受限制的组后，在右边空白处右键单击，然后添加需要的组。在这里我希望做到所有该OU中的客户端电脑的本地管理员组内只有域用户xp2存在其中。所以在选中了Administrators这个组后，为其添加成员。如图2

图2

    这是xp1受到该组策略影响前的图片，如图3

图3

    在客户端刷新策略后，可以看到除了内置的本地管理员帐号，另外两个都消失了。取而代之的是域用户xp2的帐号了。如图4

图4

    如果组策略删除的话，前面消失的两个帐号会再次出现。从这里也可以看出，受限组策略可以控制组中有哪些帐号存在，不被允许的帐号会被自动挤出去。（除了内置的administrator帐号）

    在图2中的下方有个选项为“这个组隶属于”，怎么说呢？举个例子吧。

    当要确保Domain Admins这个组一定要存在于客户端本地管理员组内时，就可以用到这个选项。策略生效后Domain Admins会被添加进客户端电脑的本地管理员组，并且不会挤掉原先存在的那些帐户或组，和上面的例子是有所区别的。另外这个选项只能添加组，若需要添加成员就把成员帐号添加到组内，然后选中该组即可。

    小结：
    Restricted Group带来的好处是有效控制组内的成员，比如既便客户端域帐号拥有本地管理员权限，并删除了一些网管设置的帐号，我们只需要重启一下电脑一切就又恢复了原样！