嘿，你猜的没错——直接用LOCALUSER/local_admin这种格式在域级GPO的安全筛选里确实走不通。原因很简单：域级组策略的安全筛选是基于Active Directory（AD）内的对象来识别身份的，而本地用户账号存在每台机器的本地SAM数据库里，根本不在AD的目录体系中，域控制器完全没法识别这种格式的身份。

不过别担心，有几个靠谱的替代方案能实现你的需求：

• 使用WMI筛选器绑定GPO
  你可以创建一个WMI筛选器，通过查询系统信息来匹配目标本地用户。比如用下面这个WQL查询，它会检查当前登录的用户是否是local_admin，同时确认这是本地机器的用户：

  SELECT * FROM Win32_UserAccount WHERE Name = 'local_admin' AND Domain = '%COMPUTERNAME%'
  

  把这个筛选器绑定到你要应用的GPO上，这样只有当本地local_admin用户登录时，该GPO才会生效。唯一要注意的是，WMI筛选器会略微增加组策略的处理开销，机器数量多的话可能会有一点点性能影响，但一般可以忽略。

• 给组策略偏好设置项目级目标
  如果你的GPO里是用组策略偏好（GPP）来配置具体设置的，那可以给每个偏好项目添加项目级目标。在目标条件里，先选「用户名称」匹配local_admin，再额外加一个条件（比如检查用户SID前缀）来排除域用户——毕竟如果域里刚好有个同名的域用户，可别误把策略应用过去。这种方式的灵活性很高，能精准控制单个偏好项目的生效范围。

• 借助本地组中转
  你可以先通过一个基础GPO，在所有域机器上创建一个统一的本地组（比如LocalAdminPolicyGroup），然后把每台机器上的local_admin用户加入这个组。之后在目标GPO里用受限组策略，针对这个本地组配置权限或其他规则。这个方法的好处是能批量管理，适合需要给本地管理员统一配置权限的场景。

最后提醒一句：如果域内存在同名的域用户，一定要用SID这类唯一标识来区分，避免策略误应用哦。

备注：内容来源于stack exchange，提问作者b-frid