最近碰到个棘手的状况：一批加入Windows Server 2022域的Windows 10客户端，因为GPO配置操作失误，导致本地管理员组里只剩一个处于禁用状态的默认管理员账户。更麻烦的是，大部分客户端都开启了BitLocker，没法启用这个禁用账户来手动添加域管理员组。我一直在想办法把域管理员组加回本地管理员组，下面是我的尝试和最终解决过程：

我试过的几种方法 #

• 控制面板设置类GPO：创建了一个GPO，修改计算机配置 -> 控制面板设置 -> 本地用户和组 -> 组（内置管理员组），把mydomain\Domain admins添加到这个组里。在客户端执行gpupdate /force显示成功，事件查看器的系统日志也没报错，但域管理员组就是没出现在本地管理员组里。
• 受限组策略：通过计算机配置 -> 策略 -> Windows设置 -> 安全设置 -> 受限组做了同样的配置，结果和上面一样，完全没生效。
• 注册表修改：借助远程访问工具编辑了注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList，添加了一个已存在的本地用户并设值为1（原本以为这样能把该用户加到本地管理员组），但这次尝试也失败了。

初步排查与临时修复 #

一开始我甚至怀疑：是不是GPO要正常执行，必须本地管理员组里已经有域管理员成员？后来才发现问题出在域控制器上——我们的两台DC对现有GPO的认知不一致，虽然用repadmin和dcdiag检测都没报任何错误，但确实存在冲突的GPO。把两台DC上的问题GPO都删除后，用受限组策略的方法终于成功把域管理员组加回了本地管理员组。

不过受限组策略有个弊端：如果之后移除这个策略，域管理员组很可能会被从本地管理员组里移除，所以我想要一个更持久的方案，也就是回到第一种控制面板设置的GPO方法，但始终没法让它生效。

最终持久化解决方案 #

最后我移除了受限组策略，改用GPO部署PowerShell脚本的方式解决了问题：脚本里只需要一行简单的命令：

Add-LocalGroupMember -Group "Administrators" -Member "mydomain\Domain admins"

把这个脚本通过GPO推送到客户端后，就能稳定地将域管理员组添加到本地管理员组中，而且后续即使移除这个GPO，已添加的域管理员组也不会被删掉，完美满足了持久化的需求。

备注：内容来源于stack exchange，提问作者carmik