[WindowsNT]

Restricted Groups должны чётко фиксировать членство. Когда кого-то из политики убираете, после gpupdate на рабочей станции он должен из группы пропадать.

У меня есть два варианта:
1. Неточно сделана сама политика. Покажите скриншоты.
2. На клиенте политика перестала нормально применяться. Читаем журналы клиента.

[nokogerra]

скриншоты прилагаю.
в rsop указано что есть gpo имеющие более высокий приоритет, и политика не пыталась настроить параметр, но выше только дефолтная политика, которую я не правил и в которой нет ничего о restricted groups, приложу часть winlogon.log, НО если бы политика действительно не работала, то созданной мной группы вообще бы не было в локальных администраторах, к тому же проблема только при удалении пользователя из группы, при добавлении в группу он получает права даже без gpupdate, вот в деталях:

В случае с restricted groups: после создания объекта gpo и gpupdate на машине все работало нормально, добавил пользователя в группу "Adm" (которая в свою очередь является членом builtin\Администраторы), и даже без gpupdate 2й пользователь получил права администратора, т.е. клиентская ось нормально определила что он в группе "Adm". Тут же удаляю пользователя из группы, но права остаются. Делаю gpupdate + restart guest, права все равно остаются, хотя он уже не в группе Adm, и соответственно не в группе builtin\Администраторы. После удаления объекта gpo да, группа Adm удалилась из локальной группы администраторов.

В случае с GPP: после создания объекта gpo и gpupdate на машине все работало нормально, добавил пользователя в группу "Adm", пользователь не получил права даже после gpupdate + restart guest, отключил привязку объекта gpo к ou, gpupdate, снова включил привязку, gpupdate+restart guest - нет эффекта, пользователь все равно не получил прав.

winlogon.log:

читать дальше »

-------------------------------------------
22 октября 2013 г. 16:05:38
Копирование восстановленных значений в объединенную политику.


----Деинициализация модуля настройки...

Обработать шаблон gpt00001.inf групповой политики.

Это не последний GPO.
-------------------------------------------
22 октября 2013 г. 16:05:39


----Деинициализация модуля настройки...

Обработать шаблон gpt00002.inf групповой политики.
-------------------------------------------
22 октября 2013 г. 16:05:39
----Модуль конфигурации инициализирован успешно.----

----Чтение данных шаблона конфигурации...


----Настройка членства в группах...
Настройка M**\GG_local_comp_admins_B**.
успешное добавление объекта в Администраторы.
новый член восстановленного списка: *S-1-5-32-544,
Настройка M**\GG_global_comp_admins.
старый член восстановленного списка: *S-1-5-32-544,
объект уже является членом Администраторы.
новый член восстановленного списка: *S-1-5-32-544,

Настройка членства в группах выполнена успешно.


----Настройка параметров общей службы...
Настройка WinRM.

Настройка общей службы выполнена успешно.


----Настройка доступных модулей дополнений...

Настройка модулей дополнений выполнена успешно.


----Деинициализация модуля настройки...

это последний GPO.

[WindowsNT]

Политика Restricted Groups отрабатывает корректно.
Некто должен стать членом группы Administrators > в политике вы говорите "Некто является членом Administrators", так оно и происходит.
Когда вы его убираете из политики, становится "про Некто ничего не сказано". То есть, ничего не меняется.
Вариант номер 1 доказан. Как вы задаёте, так оно и работает.

[nokogerra]

Не понятна логика того что вы написали, я не убираю пользователя из политики, я удаляю его из группы, которая указана в политике.
Группа Adm входит в группу локальных Администраторов. Добавил пользователя в группу Adm - он имеет права администратора, удалил - не имеет, разве это не логично? Но работает только в сторону добавления, если удалить, права все равно остаются, может я не понимаю какого-то глубокого механизма работы restricted groups? Потому что саму политику я не правлю, меняется только членство в группе.