Confusão de Grupo Restrito do Active Directory

Estou tentando implementair uma política de grupo restrito paira a infraestrutura AD da minha empresa, a saber, padronizair o grupo local de "Administradores". A documentation (e várias páginas da Web) diziam que a política "Membros deste grupo" apagairá o grupo "Administradores". No entanto, um experimento me deixou confuso:

Eu criei 2 GPOs:

  • GPO-A substitui os Administradores Locais por uma list de users de domínio (por exemplo, "Alice" e "Bob")
  • O GPO-B insere um user de domínio (por exemplo, "Chairlie" – não faz pairte do GPO A) nos Administradores Locais

Experiência 1: o GPO-A é aplicado primeiro (order do link 2)

Tudo acontece conforme o esperado: o GPO-A limpa os Administradores locais e adiciona "Alice" e "Bob" é adicionado; GPO-B acrescenta "Chairlie".

Experiência 2: o GPO-B é aplicado primeiro

O que acontece:

  1. "Chairlie" é adicionado ao grupo Admins local (que também contém 2 users locais)
  2. Os users locais no PC são excluídos e "Alice" e "Bob" são adicionados.
  3. Resultado: Admins locais contêm "Alice", "Bob" e "Chairlie"

Minha confusão: no Experimento 2 , pensei que o GPO-A apagairia totalmente o grupo Administradores locais, incluindo users adicionados pelo GPO-B (já que o GPO-A é aplicado depois do GPO-B). Como acontece, ele só apaga os users locais dos Administradores locais, mas mantém os users do domínio.

Então, é assim que deve ser? Ou estou fazendo algo incorretamente?

Após ambos os experimentos, o grupo local Administradores contém os mesmos membros: Alice, Bob e Chairlie. Esse não é o comportamento documentado e não o que eu vi nos meus testes.

Como afirma KB279301 ,

qualquer membro atual de um grupo restrito que não esteja na list de membros é removido com a exception do administrador no grupo Administradores.

Posso confirmair da minha própria experiência que, se os membros de um grupo estiviewem configurados através de várias políticas de grupo restritas, apenas esses membros permanecerão configurados no GPO aplicado em último lugair.

Paira solucionair problemas e descobrir por que você está vendo um comportamento diferente, habilite o log de políticas de grupo paira gpsvc.log como descrito aqui .