Я не совсем понимаю стандартную фильтрацию безопасности прошедших проверку пользователей для групповых политик в Windows. Когда я настраивал WSUS, я оставил это, хотя он подпадает под «Конфигурацию компьютера» и привязан только к компьютерным объектам.
Должно ли это всегда оставаться на месте, если да, то какова точная цель?
На этот раз конкретным вариантом использования является установка программного обеспечения, которая находится в разделе «Конфигурация компьютера».
"Группа" (на самом деле руководитель службы безопасности) Прошедшие проверку пользователи представляет собой набор пользователей и компьютеров, которые проходят аутентификацию в домене. Из «Хорошо известные идентификаторы безопасности в операционных системах Windows»:
SID: S-1-5-11
Имя: Прошедшие проверку пользователи
Описание: группа, в которую входят все пользователи, чьи личности были аутентифицированы при входе в систему. Членство контролируется операционной системой.
Фильтрация безопасности может использоваться для применения [или предотвращения применения] политик к определенным группам пользователей / компьютеров. Обычно вы связываете GPO внутри OU, и политика применяется ко всем пользователям / компьютерам в этом OU. С помощью фильтрации вы можете сказать: "применить эту политику к только пользователи в этих группах внутри этого OU ".
Когда фильтр безопасности политики Прошедшие проверку пользователи означает, что политика будет применяться ко всем пользователям / компьютерам, прошедшим аутентификацию в домене. Конечно, при включении запрета обратной обработки параметры конфигурации компьютера будут применяться только к объектам компьютеров, а параметры конфигурации пользователя будут применяться только к объектам пользователей.
У компьютеров есть учетные записи в AD, которые они используют для собственной аутентификации и доступа к объектам, поэтому вы можете заблокировать все, чтобы только «известные» пользователи AD, включая компьютеры, могли получить доступ к объекту. Если задуматься, это имеет смысл с объектами групповой политики.