我的公司遇到了一个问题。
我有一个 GPO,和安全过滤器中的一个组,我们将其命名为组 X。在我的委派中,我将权限设置为 X(允许读取和允许应用组策略)。
用户在组 X 中,当我登录计算机时,安全筛选器拒绝了此 GPO。我该如何排除故障以确定拒绝此 GPO 的位置?
我不知道这是否相关,但是这个组 X 拒绝另一个 GPO 并允许这个特定的 GPO。
答案1
如果是这样,您可能从组策略中删除了经过身份验证的用户:
使用“委派”选项卡重新添加经过身份验证的用户,并在角色上选择“读取”(非常重要)。经过身份验证的用户应该不是能够“应用组策略”但只能“读取”组策略(否则基于组成员身份的过滤器将不起作用)。
自 2016 年 6 月起,组策略是使用计算机帐户检索的(包括用户组策略),因此必须允许计算机读取策略设置。
答案2
您可以使用gpresult /范围用户/h rsop.html查看用户的 RSoP(策略结果集),它应该提供有关相关 GPO 的安全过滤的详细信息以及为什么它没有按照您期望的方式应用。
确保你已经删除了已认证用户如果您只希望 GPO 应用于 X 组中的用户,请参见“范围”选项卡上的“安全过滤”;这篇 TechNet 文章了解更多信息。