Dai forum c’è sempre da imparare come ad esempio che è possibile utilizzara la group policy Restricted Groups per controllare la membership di un gruppo.
Tramite questa GPO è quindi possibile svolgere le seguenti attività:
- Controllare la membership del gruppo local Administrators group dei client includendo ad esempio gli account:
- Administrator (account del SAM locale)
- Domain Admins
- SMS o altri account remoti di dominio
- Rimuovere utenti locali che non dovrebbero essere aggiunti al gruppo local Administrators.
- Controllare la membership dei gruppi Enterprise Admins e Schema Admins che dovrebbero essere usati solo per apportare modifiche di una certa rilevanza su una partizione di Active directory
- Controllare la membership dei gruppi locali su file servers.
Per ulteriori informazioni si veda Using Restricted Groups.