在组策略管理控制台中,我尝试委派“链接 GPO”权限,但在选择要委派访问权限的组和“此容器和所有子容器”选项后,我收到错误消息“请求是不支持”。
这是Microsoft 论坛上相同错误的屏幕截图。在这种情况下,用户正试图删除委托。
是什么导致了这个错误,如何解决这个问题?
AskOverflow.Dev
在组策略管理控制台中,我尝试委派“链接 GPO”权限,但在选择要委派访问权限的组和“此容器和所有子容器”选项后,我收到错误消息“请求是不支持”。
这是Microsoft 论坛上相同错误的屏幕截图。在这种情况下,用户正试图删除委托。
是什么导致了这个错误,如何解决这个问题?
当用户在 Active Directory OU 上具有组策略管理控制台 (GPMC) 不知道如何处理的现有权限时,会发生此错误。需要注意的是,组策略委派实际上只是对 OU 的权限,GPMC 只是提供了一个简化的接口,使必要的权限更改更容易。
您可以使用 Active Directory 用户和计算机来检查 OU 的权限。您需要从“视图”菜单中启用“高级功能”才能查看 OU 对象的“安全”选项卡,并且需要选择“高级”以查看详细的权限列表。
在我的例子中,有问题的组已被明确授予对 OU 的“读取”访问权限,由于它是多余的,因此必须在某些时候错误地添加。在 Microsoft 论坛上的链接问题中,用户试图更改默认情况下对所有 OU 具有完全控制权的域管理员组的委派。
就我而言,由于不需要存在现有的读取权限,因此我使用 Active Directory 用户和计算机将其删除。然后我可以使用 GPMC 添加我想要的委托。
链接的 Microsoft 论坛问题中的用户可能以相同的方式删除了域管理员的完全控制权限,这也会删除组策略委派作为副作用。(这是否是一个明智的改变是另一回事!)
在其他情况下,如果无法删除额外权限,您可以直接在 Active Directory 用户和计算机中授予必要的委派,而不是通过组策略管理控制台。如果要授予“链接 GPO”委托,则必要的访问权限是“读取 gPLink”、“写入 gPLink”、“读取 gPOptions”和“写入 gPOptions”。进行更改后,刷新组策略管理控制台中的视图应该会显示新创建的委派。