制限されたグループの機能を使用することで、グループに属するアカウントの制御を行なうことが出来ます。

flex_000859

場所は「コンピューターの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」-「制限されたグループ」です。

flex_000860
 
右クリックして「グループの追加」を選択します。

flex_000861

制御したいグループを入力します。

flex_000862
 
グループメンバーシップのプロパティ画面が開きます。
ここで「このグループのメンバー」もしくは「このグループの所属」にグループを設定します。

flex_000863

「このグループの所属」欄で「追加」ボタンをクリックして、グループを設定した場合、ここで入力したグループ(ここではBackup Operators)に先に入力したグループ(ここではtest-group1)が所属します。

flex_000864

「このグループの所属」欄にグループが追加されました。

flex_000621

Backup Operatorsにはtadashiというローカルグループが存在していたのに対して・・・

flex_000622

上記のGPOが適応されると、test-group1というグループも追加されました。

flex_000872
 
さらにグループを設定して

flex_000870
 
「このグループのメンバー」にグループを追加した場合、先に入力したグループ(ここではBackup Operators)のメンバーに、ここで入力したメンバー(ここではtest-group1)が追加されます。
それ以外にメンバーだったグループは削除されます。
(ただし、administratorsは残る)

flex_000623
 
グループのメンバーはこんな感じになりました。
追加したグループしか残っていません。