我注意到我添加的任何内容Security Filtering
也会出现在下Delegation
,所以我不确定它们是如何或为何存在的,以及它们是否是多余的?
到目前为止,我一直在专门使用它Security Filtering
来确定 GPO 是否应用以及应用于哪些组,但现在 Windows Server 有一个新的补丁,它会阻止我的 GPO 应用,除非我添加Domain Computers
到Security Filtering
...(GPO 无法应用;原因:无法访问、为空或已禁用;Server 2012 R2 和 Windows 10)
这对我来说似乎非常令人困惑,因为根据我对 Windows 特权的所有经验,我一直认为 GPO 权限将独立读取。换句话说,如果我在和和中拥有Bob
和,并且我将和添加到具有和设置的GPO 中,那么我预计 GPO 将适用于、、和。(实际上是一个逻辑操作:如果用户在或中,则应用策略)。Sue
Group A
Bob
Bill
Sarah
Group B
Group A
Group B
Read
Apply
Bob
Sue
Bill
Sarah
OR
Group A
Group B
因此,如果我将Group A
和添加到选项卡Domain Computers
中Security Filtering
,我希望 GPO 不仅适用于Bob
和Sue
,还适用于域中的每台计算机,从而有效地呈现Group A
冗余,因为接收 GPO 的每台计算机将始终是域的一部分。
然而,用户 Adwaenyth 的帖子(GPO 无法应用;原因:无法访问、为空或已禁用;Server 2012 R2 和 Windows 10) 似乎意味着Security Filtering
现在通过一种逻辑进行操作AND
,其中目标必须是所有组的成员,GPO 才能应用。在我上面的示例中Group A
,Group B
只有 和Bob
才会应用 GPO,因为他是两个组中唯一的一个。
Read
如果我只需要添加权限,整个谜团就可以解决了,不是 Apply
权限,到Domain Computers
。但是为什么我需要添加Domain Computers
到自动授予权限Security Filtering
的位置Apply
?这一切都回到了同一个问题:Security Filtering
和之间实际上有什么区别Delegation
?我知道Delegation
也用于授予用户和受限管理员编辑、修改或删除 GPO 的能力。但是如果我使用Delegation
手动授予实体Read
和Apply
权限会怎样?这与将实体放入 一样吗Security Filtering
?
答案1
如果您使用 GPO 的委派选项卡并单击高级,则可以将读取和应用权限分配给用户或组。如果您执行此操作(并且如果 GPO 链接到正确的级别),则 GPO 将应用于该用户或组。除此之外,如果您使用委派选项卡并单击高级并将读取和应用权限分配给用户或组,则该用户或组将出现在 GPO 的安全过滤部分中。
相反,如果您编辑安全过滤部分并添加用户或组,那么该用户或组将出现在委派选项卡上,如果您查看高级,您将看到该用户或组已出现在那里并具有读取和应用权限。
因此,安全过滤和委派选项卡高级正在做同样的事情!
但是,使用委派选项卡,您可以为 GPO 分配额外的权限,例如,您可以分配编辑 GPO 的权限。简而言之,委派选项卡功能更强大,但如果您只希望 GPO 应用于用户或组,您可以使用安全过滤或委派选项卡的高级部分。