我有一个根域(root.local)和一个子域(child.root.local)。
我在根域中有一个组策略对象,例如 GPO_root
在子域中我有一台计算机,computer_child。它位于子域中的OU child.root.local/OU_child_computers。
在根域中,我还有一个类型为“安全/域本地”的组,名为 computer_group_root,其中包含 computer_child 作为成员。
现在我已将 GPO_root 链接到 child.root.local/OU_child_computers
我还编辑了 GPO_root 的委派/权限,删除了“经过身份验证的用户”的权限“应用”,并将其添加到“computer_group_root”中。
但是,这似乎不起作用。如果我gpresult /scope computer /r在 computer_child 上运行,我会看到:
The following GPOs were not applied because they were filtered out
GPO_root
Filtering: Denied (Security)
因此 GPO_root 未被应用。
如果我编辑 GPO_root 的权限并直接授予计算机帐户 computer_child“应用”权限,则可行。但如果我只是使用 computer_group_root,则不行。
(顺便说一句,如果所有对象都在同一个域中,那么这一切都不会出现问题。)
- 为什么它不起作用?
- 我可以使用群组让它工作吗?
- 如何?
(现实世界的情况当然要复杂一些,有多台计算机和子域。我想避免直接为所有计算机添加权限,也避免每次添加新计算机时都要记住这一点。所以我想使用一个组。)