漫游配置文件 & GPO & 安全组交互

漫游配置文件 & GPO & 安全组交互

我已根据本文档设置了漫游配置文件(客户坚持):https://docs.microsoft.com/en-us/windows-server/storage/folder-redirection/deploy-roaming-user-profiles并且它可以起作用,但是有些东西我不明白。

步骤 2 - 创建安全组。似乎应该为我放入此组的任何用户创建漫游配置文件,无论他们访问的是哪台机器,但对我来说却行不通。在我的环境中,只有将用户和计算机添加到安全组时才会应用漫游配置文件。

我的设置有问题吗?还是这是预期的行为?如果是预期的,为什么?我遗漏了什么?在我看来,该策略应该适用于该组中的任何对象,无论是用户还是计算机。

提前致谢。

答案1

您必须向您的计算机授予“读取”权限,Microsoft 在步骤 4 中表示:

由于 MS16-072A 中所做的安全更改,您现在必须授予 Authenticated Users 组对 GPO 委派的读取权限 - 否则 GPO 将不会应用于用户[...]

步骤4.9

选择“委派”选项卡,选择“添加”,键入“经过身份验证的用户”,选择“确定”,然后再次选择“确定”以接受默认的读取权限。

因此,向包含以下内容的组授予“应用组策略”和“读取”权限:用户,然后“阅读”到包含电脑(例如,它可以是“域计算机”。或者“经过身份验证的用户”,但请仔细检查您是否只授予了“读取”权限而不是“应用组策略”权限,否则您的用户组过滤将毫无用处)。

这是因为从技术上讲,计算机帐户用于从域控制器下载组策略,即使对于 GPO 的“用户”部分也是如此(这就是为什么计算机必须能够读取 GPO,即使对于用户设置也是如此)。

如果您想了解更多详细信息,可以阅读此博客文章:https://docs.microsoft.com/fr-fr/archive/blogs/askds/deploying-group-policy-security-update-ms16-072-kb3163622

相关内容