Как и в теме, применяется ли объект групповой политики, если вкладка «Фильтрация безопасности» пуста, но есть группа безопасности в делегировании, у которой есть права чтения и применения?
На вкладке «Фильтрация безопасности» указано: «Параметры этого объекта групповой политики могут применяться только к следующим группам, пользователям и компьютерам:»
Так должна ли группа безопасности быть также на вкладке «Фильтрация безопасности» или достаточно, если она находится в делегировании с правильными правами?
Спасибо,
На сегодняшний день добавление разрешения «Применить групповую политику» на вкладке «Делегирование» автоматически добавляет участника безопасности на вкладку «Область» и наоборот. (Обратите внимание, что одного разрешения «Чтение» недостаточно.) Я не уверен, что это был Центр обновления Windows и был ли он изменен после того, как вы задали этот вопрос.
Поэтому ответ - да: достаточно добавить участников через вкладку делегирования при условии, что вы примените правильные разрешения.
Если вы используете вкладку делегирования объекта групповой политики и нажимаете кнопку «Дополнительно», вы можете назначить разрешения на чтение и применение пользователю или группе. если вы сделаете это (и если объект групповой политики связан с правильным уровнем), то объект групповой политики будет применяться к этому пользователю или группе. более того, если вы действительно используете вкладку делегирования и щелкаете дополнительно и назначаете права чтения и применения пользователю или группе, то этот пользователь или группа появится в разделе фильтрации безопасности объекта групповой политики.
наоборот, если вы отредактируете раздел фильтрации безопасности и добавите пользователя или группу, этот пользователь или группа появятся на вкладке делегирования, и если вы посмотрите на расширенные возможности, вы увидите, что пользователь или группа появились там с разрешениями на чтение и применение.
Таким образом, фильтрация безопасности и расширенная вкладка делегирования делают то же самое!
Однако, используя вкладку делегирования, вы можете назначить дополнительное разрешение для объекта групповой политики, чтобы, например, вы могли назначить разрешение на редактирование gpo. Короче говоря, вкладка делегирования более эффективна, но если вы просто хотите, чтобы объект групповой политики применялся к пользователю или группе, вы можете использовать либо фильтрацию безопасности, либо раздел adv на вкладке делегирования.
Вкладка делегирования используется, чтобы позволить пользователям управлять групповыми политиками (создавать групповые политики, редактировать их, связывать их с подразделениями или применять их). Эта вкладка бесполезна для определения того, на какого пользователя фактически повлияет политика.
Чтобы политики вступили в силу, необходимо добавить группы, к которым вы хотите применить политики, на вкладке «Фильтрация безопасности».
Эта статья Technet может помочь вам:
Фильтрация безопасности с помощью GPMC
Чтобы объект групповой политики мог применяться к данному пользователю или компьютеру, этот пользователь или компьютер должны иметь разрешения на чтение и применение групповой политики (AGP) для объекта групповой политики, явно или эффективно через членство в группе.