经过“委派”过滤组策略设置

任务要求

在“WorldSkills2017.china”域中已经建立好了一个名为IT的域组，要求将IT组设为域里全部机器的本地管理员，除了domain contoller。

任务分析与实现

要完成这个任务，重点须要设置组策略的委派。
首先建立一个名为“将IT组设为本地管理员”的组策略，打开“计算机配置/首选项/控制面板设置/本地用户和组”。

在“本地用户和组”上右键单击，选择“新建/本地组”，而后选择Administrators组，并将IT组添加为成员。

设置完成后，关闭组策略编辑器，选中“将IT组设为本地管理员”组策略，打开委派，并点击“高级”按钮，

而后添加“Domain Controllers”组，将“应用组策略”权限设为拒绝。

至此，组策略配置完成。

在客户端验证

因为是在“计算机配置”中作的设置，于是须要将客户端计算机重启，从新启动以后，打开“本地用户和组”，能够看到Administrators组中已经成功添加了IT组。