在组策略管理控制台中,我尝试委派“链接 GPO”权限,但在选择要委派访问权限的组和“此容器和所有子容器”选项后,我收到错误消息“不支持该请求”。
这是一个相同错误的屏幕截图在 Microsoft 论坛上。在这种情况下,用户正在尝试删除委派。
什么原因导致了此错误以及如何解决该问题?
答案1
当用户在 Active Directory OU 上拥有现有权限,而组策略管理控制台 (GPMC) 不知道如何处理时,就会发生此错误。应该注意的是,组策略委派实际上只是 OU 上的权限,GPMC 只是提供了一个简化的界面,使必要的权限更改更容易。
您可以使用 Active Directory 用户和计算机检查 OU 上的权限。您需要从“查看”菜单中启用“高级功能”才能查看 OU 对象的“安全”选项卡,并且您需要选择“高级”才能查看详细的权限列表。
在我的案例中,相关组已被明确授予对 OU 的“读取”访问权限,这肯定是某个时候错误添加的,因为它是多余的。在 Microsoft 论坛上的链接问题中,用户试图更改域管理员组的委派,该组默认对所有 OU 具有完全控制权。
就我而言,由于现有的读取权限不需要保留,我使用 Active Directory 用户和计算机将其删除。然后我能够使用 GPMC 添加我想要的委派。
链接的 Microsoft 论坛问题中的用户可以用同样的方式删除域管理员的完全控制权限,这也会删除组策略委派的副作用。(这是否是一个明智的改变是另一回事!)
在其他情况下,如果无法删除额外的权限,您可以直接在 Active Directory 用户和计算机中授予必要的委派,而不是通过组策略管理控制台。如果您想授予“链接 GPO”委派,则必要的访问权限是“读取 gPLink”、“写入 gPLink”、“读取 gPOptions”和“写入 gPOptions”。更改完成后,刷新组策略管理控制台中的视图应显示新创建的委派。