与主题一样,如果“安全过滤”选项卡为空,但委派中存在具有读取和应用权限的安全组,则 GPO 是否适用?
安全过滤选项卡显示“此 GPO 中的设置只能应用于以下组、用户和计算机:”
那么安全组是否也必须位于“安全过滤”选项卡中,或者如果它具有正确的权限,则足够了?
谢谢,
答案1
截至今天,通过“委派”选项卡添加“应用组策略”权限会自动将安全主体添加到“范围”选项卡,反之亦然。(请注意,仅“读取”权限是不够的。)我不确定这是否是 Windows 更新,并且自从您提出这个问题以来已经发生了变化。
因此,答案是肯定的:只要您应用正确的权限,通过委派选项卡添加主体就足够了。
答案2
委派选项卡用于允许用户管理组策略(创建组策略、编辑组策略、将其链接到 OU 或强制执行)。该选项卡对于定义哪些用户将实际受到策略的影响没有用
为了使策略有效,您必须在“安全过滤”选项卡中添加要应用策略的组。
这篇 Technet 文章可能会帮助您:
为了使 GPO 应用于给定的用户或计算机,该用户或计算机必须对 GPO 具有读取和应用组策略 (AGP) 权限,可以通过组成员身份明确或有效地实现。
答案3
如果您使用 GPO 的委派选项卡并单击高级,则可以将读取和应用权限分配给用户或组。如果您执行此操作(并且如果 GPO 链接到正确的级别),则 GPO 将应用于该用户或组。除此之外,如果您使用委派选项卡并单击高级并将读取和应用权限分配给用户或组,则该用户或组将出现在 GPO 的安全过滤部分中。
相反,如果您编辑安全过滤部分并添加用户或组,那么该用户或组将出现在委派选项卡上,如果您查看高级,您将看到该用户或组已出现在那里并具有读取和应用权限。
因此,安全过滤和委派选项卡高级正在做同样的事情!
但是,使用委派选项卡,您可以为 GPO 分配额外的权限,例如,您可以分配编辑 GPO 的权限。简而言之,委派选项卡功能更强大,但如果您只希望 GPO 应用于用户或组,您可以使用安全过滤或委派选项卡的高级部分。