Windows Server:安全過濾(在範圍選項卡下)和組策略管理中的委派選項卡有什麼區別?
我注意到我添加的任何內容
Security Filtering
也出現在 下Delegation
,所以我不確定它們如何或為什麼都存在,以及它們是否是多餘的?到目前為止,我一直專門
Security Filtering
用於確定是否應用了 GPO 以及應用到哪些組,但現在 Windows Server 有一個新更新檔,它阻止我的 GPO 應用,除非我添加Domain Computers
到Security Filtering
…(GPO 無法應用;原因:無法訪問、為空或已禁用;Server 2012 R2 和 Windows 10)這對我來說似乎很困惑,因為我一直認為 GPO 權限會根據我對 Windows 權限的所有經驗獨立讀取。換句話說,如果我有
Bob
andSue
inGroup A
andBob
andBill
andSarah
inGroup B
,並且我將Group A
and添加Group B
到帶有Read
andApply
設置的 GPO,那麼我希望 GPO 將適用於Bob
、Sue
、Bill
和Sarah
。(實際上是一個邏輯OR
操作:如果使用者在Group A
or中Group B
,則應用該策略)。因此,如果我將
Group A
and添加Domain Computers
到Security Filtering
選項卡,我希望 GPO 應用於Bob
andSue
,但也應用於域中的每台電腦,從而有效地呈現Group A
冗餘,因為接收 GPO 的每台電腦將始終是域的一部分。但是,使用者 Adwaenyth 的文章(GPO 無法應用;原因:無法訪問、空或已禁用;Server 2012 R2 和 Windows 10)似乎暗示
Security Filtering
現在正在通過AND
一種邏輯執行,其中目標必須是GPO 應用的所有組。那麼,在我以上的例子中Group A
,Group B
只會Bob
應用 GPO,因為他是兩組中唯一的一個。如果我只需要添加
Read
權限而不是Apply
權限到Domain Computers
. 但是,為什麼我需要添加Domain Computers
到自動授予權限的位置Security Filtering
?這一切又回到了同一個問題,實際上,和Apply
之間的區別是什麼?我知道這也是為了授予使用者和有限管理員編輯、修改或刪除 GPO 的能力。但是如果我使用手動賦予實體和權限呢?這與將實體放入相同嗎?Security Filtering``Delegation``Delegation``Delegation``Read``Apply``Security Filtering
這個問題也在這裡提出:如果“安全過濾”選項卡為空,是否適用 GPO,但委派中有一個具有讀取和應用權限的安全組?
如果您使用 GPO 的委派選項卡並點擊高級,則可以將讀取和應用權限分配給使用者或組。如果您這樣做(並且如果 GPO 連結到正確的級別),則 GPO 將應用於該使用者或組。不僅如此,如果您確實使用委派選項卡並點擊高級並將讀取和應用權限分配給使用者或組,則該使用者或組將出現在 GPO 的安全過濾部分中。
相反,如果您編輯安全過濾部分並添加使用者或組,則該使用者或組將出現在委派選項卡上,如果您查看高級,您將看到該使用者或組已出現在那裡,具有讀取和應用權限。
因此,安全過濾和高級委託選項卡正在做同樣的事情!
但是,使用委派選項卡,您可以為 GPO 分配額外的權限,例如,您可以分配編輯 gpo 的權限。簡而言之,委託選項卡功能更強大,但如果您只想將 GPO 應用於使用者或組,您可以使用安全過濾或委託選項卡的 adv 部分。