基本上,我创建了一个家庭虚拟实验室来练习 Active Directory,我使用 Hyper-V 在我的桌面上运行了 Windows Server 2016 的虚拟版本,并且我还有另一台物理笔记本电脑用作客户端计算机
一切都运行顺利,但是我无法让 GPO 应用于特定的安全组,即使我已将其链接到分层包含用户所在的 OU 的 OU(希望这有意义)...
这些是我为了帮助理解而拍摄的屏幕截图
https://res.cloudinary.com/dlkdmqcop/image/upload/v1552599131/AD_USERS_fa9yb2.png
https://res.cloudinary.com/dlkdmqcop/image/upload/v1552599131/GPO_hhplok.png
我将 GPO 比作 OU SWI,并尝试将其应用于安全组 UK-SWI1-GG-USERS。
如果我将其保留为经过身份验证的用户,GPO 就可以正常工作。
任何信息,将不胜感激。
答案1
为了应用用户组策略,用户登录的计算机必须具有读取组策略对象的权限。
默认情况下,即如果 GPO 未过滤,则Authenticated Users同时具有“应用组策略”和“读取”权限,一切正常。但是,如果 GPO 被过滤到特定组,则必须明确授予相关计算机必要的读取权限。
大多数情况下,您应该使用“委派”选项卡来授予Authenticated Users读取权限。
在极少数情况下,如果组策略对象的内容很敏感(例如,它包含密码),您可能更愿意向组授予读取权限Domain Computers,或者甚至只向需要应用组策略的特定计算机授予读取权限。请注意,这确实不是提供全面的保护,防止恶意用户获取对组策略对象内容的访问权限。组策略对象不应该包含密码等敏感信息。
此行为最早是在 2016 年的安全更新中引入的,并在 Microsoft 文章中进行了描述部署组策略安全更新 MS16-072 \ KB3163622。