検証環境を構築する際によく使うわりに忘れるのでメモ



ドメイングループをローカルグループに所属させることが多々ある。

・domainadminsグループじゃないドメインユーザをリモートデスクトップで接続させたい時、
ローカルグループ"Remote Desktop Users"に所属させる

・アプリケーションとしてローカルadmin権限が必要だけどドメインの権限は最小にしたい場合、
ローカルグループ"Administrators"にドメインユーザを所属させる。

などなど



ADDSサーバでグループポリシー管理エディタを編集で開く

編集したいGPOを開く

コンピューターの構成>ポリシー>Windowsの設定>セキュリティの設定>制限されたグループ
を開く

右クリック⇒”グループの追加”を選択

ローカルグループに所属させたいドメイングループを選択

"このグループの所属"に所属させたいローカルグループ(ドメイン名/Builtin)を指定する
(このグループのメンバーに入れると、既存で入っていたメンバーが削除されるので個人的に使ってない)

ポリシーを配布する

おわり



画像でやんわり↓


ローカルグループに参加させたいドメイングループを追加する
gp1


どのローカルグループに参加させたいか設定する
gp2


グループポリシーを適用し、
適用したローカルPC(サーバ)を見ると、
ローカルグループに指定したドメイングループが所属している。
gp3