Windows

Windows Server:安全過濾(在範圍選項卡下)和組策略管理中的委派選項卡有什麼區別?

  • June 26, 2016

我注意到我添加的任何內容Security Filtering也出現在 下Delegation,所以我不確定它們如何或為什麼都存在,以及它們是否是多餘的?

到目前為止,我一直專門Security Filtering用於確定是否應用了 GPO 以及應用到哪些組,但現在 Windows Server 有一個新更新檔,它阻止我的 GPO 應用,除非我添加Domain ComputersSecurity Filtering…(GPO 無法應用;原因:無法訪問、為空或已禁用;Server 2012 R2 和 Windows 10

這對我來說似乎很困惑,因為我一直認為 GPO 權限會根據我對 Windows 權限的所有經驗獨立讀取。換句話說,如果我有Boband Suein Group Aand Boband Billand Sarahin Group B,並且我將Group Aand添加Group B到帶有ReadandApply設置的 GPO,那麼我希望 GPO 將適用於BobSueBillSarah。(實際上是一個邏輯OR操作:如果使用者在Group Aor中Group B,則應用該策略)。

因此,如果我將Group Aand添加Domain ComputersSecurity Filtering選項卡,我希望 GPO 應用於Boband Sue,但也應用於域中的每台電腦,從而有效地呈現Group A冗餘,因為接收 GPO 的每台電腦將始終是域的一部分。

但是,使用者 Adwaenyth 的文章(GPO 無法應用;原因:無法訪問、空或已禁用;Server 2012 R2 和 Windows 10)似乎暗示Security Filtering現在正在通過AND一種邏輯執行,其中目標必須是GPO 應用的所有組。那麼,在我以上的例子中Group AGroup B只會Bob應用 GPO,因為他是兩組中唯一的一個。

如果我只需要添加Read權限而不是 Apply權限到Domain Computers. 但是,為什麼我需要添加Domain Computers到自動授予權限的位置Security Filtering?這一切又回到了同一個問題,實際上,和Apply之間的區別是什麼?我知道這也是為了授予使用者和有限管理員編輯、修改或刪除 GPO 的能力。但是如果我使用手動賦予實體和權限呢?這與將實體放入相同嗎? Security Filtering``Delegation``Delegation``Delegation``Read``Apply``Security Filtering

這個問題也在這裡提出:如果“安全過濾”選項卡為空,是否適用 GPO,但委派中有一個具有讀取和應用權限的安全組?

如果您使用 GPO 的委派選項卡並點擊高級,則可以將讀取和應用權限分配給使用者或組。如果您這樣做(並且如果 GPO 連結到正確的級別),則 GPO 將應用於該使用者或組。不僅如此,如果您確實使用委派選項卡並點擊高級並將讀取和應用權限分配給使用者或組,則該使用者或組將出現在 GPO 的安全過濾部分中。

相反,如果您編輯安全過濾部分並添加使用者或組,則該使用者或組將出現在委派選項卡上,如果您查看高級,您將看到該使用者或組已出現在那裡,具有讀取和應用權限。

因此,安全過濾和高級委託選項卡正在做同樣的事情!

但是,使用委派選項卡,您可以為 GPO 分配額外的權限,例如,您可以分配編輯 gpo 的權限。簡而言之,委託選項卡功能更強大,但如果您只想將 GPO 應用於使用者或組,您可以使用安全過濾或委託選項卡的 adv 部分。

引用自:https://serverfault.com/questions/786169