关于受限群组的问题，早先在 《受限群组可以保留本地账户吗？》- -(http://gnaw0725.blogbus.com/logs/4888566.html) 中简单的聊了一下，但后来 Sun Peng朋友(呵呵，至于这位神秘侠客是谁呢？winmag 的 Final 是也)在来信中说：
“你说"您是可以在Windows 2000GPO中浏览到本地的账号。但是，这些帐号只会被当前机器识别。其它机器是找不到这些本地账号的。即使您在其它机器上添加同名的账号也没用。"
但实际上我做实验的时候，是直接在受限制组里手工输入一个帐号名aa的，这样，在这个OU下的所有PC的本地帐号aa都会保留在指定的本机组里”

为了验证这个问题，我进行了下面的实验 ：
实验环境：
为了简化实验步骤，避免干扰，此域只架构了一台DC
DC:  windows 2000 advanced server + service pack 4 + all hotfix ( Active Directory )
Client:  windows 2000 professional + service pack 4 + all hotfix  ( join domain )实验步骤：
1、以域管理员身份登陆到DC，新建一个OU，创建受限群组 Restricted group 策略，（关于该策略的操作方法，请参考 How to Configure a Global Group to Be a Member of the Administrators Group on all Workstations )
    指定localtest 群组为受限群组（这里之所以不以user or group冠名，是为了在后面重命名，以测试SID之用。为避免后面混淆，在具体的实验步骤中，每个名称后面均为标注类型），指定其成员为 test，隶属于administrators
    将测试计算机帐户 client1 and client2，从computers 容器下移动到当前ou下
    在这两台已经加入域且登陆正常的client，以本地管理员登陆。在client1上 原本存在一个本地用户 testuser ,在client2上 创建本地用户 localtest

2、重命名client1上的本地帐户 testuser 为 localtest，重新启动client1client2，对比结果结果：在 client1 and client2 ，本地用户 localtest 已经成为 本地管理员组成员 。但显然 localtest 不可能有成员，因为它是个用户，而不是组
结论：可见客户端在执行策略的时候，系统只是简单应用 localtest 这个变量名，而无法区分到底是组还是用户；既然这样，如果在DC上指定策略，指定的受限群组的名称，而并不是在客户端通过安装adminpak.msi的方法来制定策略，那么该变量名可以通用于所有客户端。这里已经证实 Sun Peng朋友 的说法是正确的，感谢他的来信，给我了提示！

3、以本地管理员登陆到 client1，将 localtest 用户重命名为 localtestuser 用户；创建一个本地组 localtest ；
     重新启动 client1,查看结果结果：
client1: 被重命名为 localtestuser 的原用户 localtest 仍然存在于 本地管理员组 ，而不是 新建 的 localtest 组。但是 localtest 这个本地组中，已经拥有成员 本地用户 test
结论：策略中指定的受限群组（变量名）一旦在客户端本地被确认成员隶属关系后，其SID既进入 SIDhistory，被记录，系统可以正确识别。未经确认的帐户仍然以变量名的形式匹配本地其他用户或者组，直至被确认。

--------

写在后面的话：其实这个实验还有几步没有做完，但苦于没有找到适合的KB去验证，故而没有发布出来。