在 Windows NT 中,资源域所有者通常对加入他们的域的计算机拥有完全控制权,因为他们自动成为他们域中所有计算机上本地 Admins 组的一个成员。在一个资源 OU 中,域管理员是所有计算机上的本地管理员。要想把对一个 OU 中的计算机的完全控制权授予资源 OU 管理员,则要使用“受限制的组”组策略。 受限制的组选项允许管理员管理敏感组之间的关系。例如,如果Administrators组只包括一个内建的Administrator账户,Administrators组就可以被添加到受限制组中,而Administrator也可以添加到Administrators组成员栏目下。这样的设置可以阻止其它用户使用一 些工具软件提升自己的特权到Administrators组。 不是所有的组都需要被添加进受限制的组,建议只有那些比较敏感的组才通过配置安全模板加入进去,其余没有加入到受限制组的组将会保持他们自己的关系列表。 对于所有在该选项中列出的用户组,任何显示在这里的组和/或用户都已经不再是他们原来所加入的组成员了,并且任何没有在配置列表中显示的当前组的用户和/或组都将被删除。
本文转自daniel8294 51CTO博客,原文链接:http://blog.51cto.com/acadia627/1251585,如需转载请自行联系原作者