我注意到,我添加到Security Filtering任何内容也出现在Delegation下,所以我不确定他们是如何存在的或者他们为什么存在,如果他们是多余的?
到目前为止,我一直使用Security Filtering来确定一个GPO是否得到应用,以及哪些组,但现在有一个新的Windows Server补丁,阻止我的GPO应用,除非我将Domain Computers添加到Security Filtering …( GPO无法应用;原因:无法访问,清空或禁用; Server 2012 R2和Windows 10 )
这对我来说似乎非常困惑,因为我一直认为GPO权利将根据我对Windows权限的所有经验独立阅读。 换句话说,如果我在Group A有Bob和Sue在B Group A Bob和Bill和Sarah ,并且我将Group A Group B和Group B添加到具有Read和Apply集的GPO,那么我预计GPO将适用于Bob , Sue , Bill和Sarah 。 (实际上是逻辑OR操作:如果用户在Group A或Group B ,则应用策略)。
因此,如果我将Group A和Domain Computers添加到“ Security Filtering选项卡,则希望GPO应用于Bob和Sue ,而且也应用于域中的每台计算机,从而有效地呈现Group A冗余,因为每台计算机都接收到GPO将永远是领域的一部分。
但是,用户Adwaenyth( GPO未能应用;原因:无法访问,清空或禁用; Server 2012 R2和Windows 10 )的post似乎意味着Security Filtering现在正在通过AND类逻辑进行操作,目标必须是GPO所有小组的成员申请。 在我上面的Group A和Group B Group A例子中,那么只有Bob会申请GPO,因为他是两个组中唯一的。
如果我只需要将Read权限,而不是 Apply权限,添加到Domain Computers ,这个全部的奥秘将被解决。 但是,那么为什么我需要将Domain Computers添加到Apply权限自动授予的Security Filtering ? 这一切再次回到了Security Filtering和Delegation之间的区别是什么的问题。 我知道Delegation也是为了授予用户和有限的pipe理员编辑,修改或删除GPO的能力。 但是如果我使用Delegation手动给一个实体Read和Apply权限呢? 这与把实体放在Security Filtering吗?
这里也提出了这个问题: 如果“安全筛选”选项卡为空,但是在委派中有安全组具有读取和应用权限,GPO是否适用?
如果使用GPO的委派选项卡并单击高级,则可以将读取和应用权限分配给用户或组。 如果您这样做(并且GPO链接到正确的级别),那么GPO将适用于该用户或组。 如果您使用委派选项卡并单击高级,并将读取和应用权限分配给用户或组,则该用户或组将出现在GPO的安全筛选部分中。
如果编辑安全过滤部分并添加用户或组,则相反,那么该用户或组将出现在委派选项卡上,如果您查看高级,您将看到用户或组已出现,并具有读取和应用权限。
因此,高级的安全筛选和代理选项卡也在做同样的事情!
但是使用委派选项卡,您可以为GPO分配其他权限,以便您可以分配权限来编辑gpo。 简而言之,“委派”选项卡function更强大,但如果您只希望将GPO应用于用户或组,则可以使用安全筛选或委派选项卡的adv部分。