我不完全理解 Windows 中组策略的默认已验证用户安全过滤。当我设置 WSUS 时,我保留了它,尽管它属于“计算机配置”并且仅附加到计算机对象。
这基本上应该一直保留吗?如果是,那么具体目的是什么?
这次的具体用例是放置在计算机配置下的软件安装。
答案1
“组”(实际上是安全主体)已认证用户是经过域身份验证的用户和计算机的集合。从“Windows 操作系统中众所周知的安全标识符”:
编号:S-1-5-11
名称:经过身份验证的用户
描述:包含所有在登录时已验证身份的用户的组。成员身份由操作系统控制。
安全过滤可用于将策略应用于(或阻止应用)特定用户/计算机组。通常,您会将 GPO 链接到 OU 内,并且该策略将应用于此 OU 内的所有用户/计算机。通过过滤,您可以说:“将此策略应用于仅有的此 OU 内这些组中的用户”。
当策略的安全过滤器已认证用户这意味着该策略将适用于已通过域身份验证的所有用户/计算机。当然,除非启用环回处理,否则计算机配置设置仅适用于计算机对象,而用户配置设置仅适用于用户对象。
答案2
计算机在 AD 中拥有帐户,用于进行自己的身份验证和访问对象,因此您可以锁定某些对象,以便只有“已知”的 AD 用户(包括计算机)才能访问对象。如果您仔细想想,这对于 GPO 来说确实很有意义。