在组策略中添加 受限制的组 ,该组必须是Windows内置组,否则客户端不会应用该组。
如果已经在 客户端计算机的 Event Log Readers组中添加了 用户 testuser1,然后在组策略中添加 受限制的组Event Log Readers,添加用户 testuser2。当客户端计算机应用了该组策略后,客户端计算机的 Event Log Readers组中只会存在有testuser2,testuser1会消失,符合LSDOU的覆盖规则;;;;;;当撤销掉该组策略规则后,其客户端计算机的 Event Log Readers组中只会存在有用户 testuser1
如果将用户 testuser3添加到AD的Builtin中的 Event Log Readers组中,则客户端计算机的 Event Log Readers组中不会出现该用户