我不完全了解在Windows中组策略的默认validation用户安全筛选。 当我设置WSUS时,即使属于“计算机configuration”(Computer Configuration),我仍将其保留,只附加到计算机对象上。
如果这基本上总是留下来,那么确切的目的是什么?
这次的特殊用例是在计算机configuration下的软件安装。
“组”(实际上是安全主体)“已authentication用户”是对域进行身份validation的用户和计算机的集合。 来自“Windows操作系统中众所周知的安全标识符” :
SID:S-1-5-11
名称:经过身份validation的用户
说明:一个组,其中包括login时身份已通过身份validation的所有用户。 成员资格由操作系统控制。
安全筛选可用于将[策略]应用于特定的用户/计算机组。 通常,您将OU链接到一个GPO中,并且该策略适用于此OU中的所有用户/计算机。 通过过滤,您可以说:“仅将此策略应用于此OU中这些组中的用户”。
当策略的安全筛选器通过身份validation时,用户是指该策略将适用于已通过身份validation的所有用户/计算机。 当然,禁止回送处理启用,计算机configuration设置将只适用于计算机对象和用户configuration设置将只适用于用户对象。
计算机有AD帐户,用于他们自己的身份validation和访问对象,所以您可以locking事情,以便只有“已知的”AD用户(包括计算机)才能访问对象。 如果你仔细想想,这对GPO来说是有意义的。