我注意到我添加的任何内容Security Filtering也出现在 下Delegation,所以我不确定它们如何或为什么都存在,以及它们是否是多余的?
到目前为止,我一直专门Security Filtering用于确定是否应用了 GPO 以及应用到哪些组,但现在 Windows Server 有一个新补丁,它会阻止我的 GPO 应用,除非我添加Domain Computers到Security Filtering...(GPO 无法应用;原因:无法访问、为空或已禁用;Server 2012 R2 和 Windows 10)
这对我来说似乎很困惑,因为我一直认为 GPO 权限将根据我对 Windows 权限的所有经验独立读取。换句话说,如果我有Boband Suein Group Aand Boband Billand Sarahin Group B,并且我将Group Aand添加Group B到带有ReadandApply设置的 GPO,那么我希望 GPO 将适用于Bob、Sue、Bill和Sarah。(实际上是一个逻辑OR操作:如果用户在Group Aor中Group B,则应用该策略)。
因此,如果我将Group Aand添加Domain Computers到Security Filtering选项卡,我希望 GPO 应用于Boband Sue,但也应用于域中的每台计算机,从而有效地呈现Group A冗余,因为接收 GPO 的每台计算机将始终是域的一部分。
但是,用户 Adwaenyth 的帖子(GPO 无法应用;原因:无法访问、空或已禁用;Server 2012 R2 和 Windows 10)似乎暗示Security Filtering现在正在通过AND一种逻辑运行,其中目标必须是GPO 应用的所有组。那么,在我以上的例子中Group A,Group B只会Bob应用 GPO,因为他是两组中唯一的一个。
如果我只需要添加Read权限而不是 Apply权限到Domain Computers. 但是,为什么我需要添加Domain Computers到自动授予权限的位置Security Filtering?这一切又回到了同一个问题,实际上,和Apply之间的区别是什么?我知道这也是为了授予用户和有限管理员编辑、修改或删除 GPO 的能力。但是如果我使用手动赋予实体和权限呢?这与将实体放入相同吗? Security FilteringDelegationDelegationDelegationReadApplySecurity Filtering
这个问题也在这里提出:如果“安全过滤”选项卡为空,是否适用 GPO,但委派中有一个具有读取和应用权限的安全组?
如果您使用 GPO 的委派选项卡并单击高级,则可以将读取和应用权限分配给用户或组。如果您这样做(并且如果 GPO 链接到正确的级别),则 GPO 将应用于该用户或组。不仅如此,如果您确实使用委派选项卡并单击高级并将读取和应用权限分配给用户或组,则该用户或组将出现在 GPO 的安全过滤部分中。
相反,如果您编辑安全过滤部分并添加用户或组,则该用户或组将出现在委派选项卡上,如果您查看高级,您将看到该用户或组已出现在那里,具有读取和应用权限。
因此,安全过滤和高级委托选项卡正在做同样的事情!
但是,使用委派选项卡,您可以为 GPO 分配额外的权限,例如,您可以分配编辑 gpo 的权限。简而言之,委托选项卡功能更强大,但如果您只想将 GPO 应用于用户或组,您可以使用安全过滤或委托选项卡的 adv 部分。