GPO применяется, если вкладка “Security Filtering” пуста, но существует группа безопасности в Делегации, которая имеет Read, и Примените право?
Как в предмете, применяется GPO, если вкладка "Security Filtering" пуста, но существует группа безопасности в Делегации, которая имеет Read, и Примените права?
Вкладка Filtering безопасности говорит, что "Настройки в этом GPO могут только относиться к следующим группам, пользователям и компьютерам":
Группа безопасности должна быть также на вкладке Filtering безопасности или является ею достаточно, если это находится в Делегации с корректными правами?
Спасибо,
Вкладка делегирования используется для разрешения пользователям управлять групповыми политиками (создавать групповые политики, редактировать их, связывать с OUs или внедрять их). Эта закладка не полезна для определения того, на какого пользователя будет реально воздействовать политика
Чтобы сделать политики эффективными, вы должны добавить группы, к которым вы хотите применить политики в закладке Фильтрация безопасности.
Эта статья Technet может помочь вам:
Фильтрация безопасности с помощью GPMC
Для того, чтобы GPO применялся к данному пользователю или компьютеру, этот пользователь или компьютер должен иметь как читать, так и применять групповую политику (AGP). разрешения на GPO, либо явно, либо фактически групповые членство.
Если вы используете вкладку делегирования объекта групповой политики и нажимаете кнопку «Дополнительно», вы можете назначить разрешения на чтение и применение пользователю или группе. если вы сделаете это (и если объект групповой политики связан с правильным уровнем), то объект групповой политики будет применяться к этому пользователю или группе.более того, если вы действительно используете вкладку делегирования и щелкаете дополнительно и назначаете права на чтение и применение пользователю или группе, то этот пользователь или группа появятся в разделе фильтрации безопасности GPO.
в обратном порядке, если вы отредактируете раздел фильтрации безопасности и добавьте пользователя или группу, тогда этот пользователь или группа появятся на вкладке делегирования, и если вы посмотрите на расширенные возможности, вы увидите, что пользователь или группа появились там с разрешениями на чтение и применение.
Итак, безопасность фильтрация и расширенная вкладка делегирования делают то же самое!
Однако, используя вкладку делегирования, вы можете назначить дополнительное разрешение для GPO, чтобы вы могли назначить разрешение, например, на редактирование gpo. Короче говоря, вкладка делегирования более эффективна, но если вы просто хотите, чтобы объект групповой политики применялся к пользователю или группе, вы можете использовать либо фильтрацию безопасности, либо раздел adv на вкладке делегирования.
С сегодняшнего дня добавление разрешения "Применить групповую политику" во вкладку "Делегирование" автоматически добавляет принцип безопасности на вкладку "Область применения" и наоборот. (Обратите внимание, одного разрешения "Чтение" недостаточно.) Я не уверен, является ли это разрешение обновлением Windows Update и было ли оно изменено с тех пор, как вы задали этот вопрос.
Поэтому ответ "да": достаточно добавить принципы через вкладку "Делегирование", при условии применения правильных разрешений.
.