Я замечаю, что все, что я добавляю к Security Filtering также появляется под Delegation, поэтому я не уверен, как и почему они оба существуют, и являются ли они избыточными или нет?
До сих пор я использовал исключительно Security Filtering чтобы определить, применяется ли объект групповой политики и к каким группам, но теперь есть новый патч для Windows Server, который останавливает применение моих объектов групповой политики, если я не добавлю Domain Computers к Security Filtering... (GPO не могут применяться; причина: недоступно, пусто или отключено; Сервер 2012 R2 и Windows 10)
Мне это кажется очень запутанным, поскольку я всегда думал, что права GPO будут считываться независимо, основываясь на моем опыте работы с привилегиями Windows. Другими словами, если у меня есть Bob и Sue в Group A и Bob и Bill и Sarah в Group B, и я добавляю Group A и Group B в GPO с Read и Apply установлен, то я ожидаю, что объект групповой политики будет применяться к Bob, Sue, Bill, и Sarah. (Фактически логический OR операция: если пользователь находится в Group A или Group B, примените политику).
Поэтому, если я добавлю Group A и Domain Computers к Security Filtering вкладка, я ожидаю, что GPO будет применяться к Bob и Sue, но и на каждый компьютер в домене, эффективно отрисовывая Group A избыточно, поскольку каждый компьютер, получающий объект групповой политики, всегда будет частью домена.
Однако сообщение пользователя Adwaenyth (GPO не могут применяться; причина: недоступно, пусто или отключено; Сервер 2012 R2 и Windows 10), кажется, подразумевает, что Security Filtering теперь работает через AND своего рода логика, в которой цель должна быть членом всех групп, чтобы объект групповой политики мог применяться. В моем примере Group A и Group B выше, тогда только Bob применит GPO, так как он единственный в обеих группах.
Вся эта загадка была бы решена для меня, если бы мне нужно было только добавить Read права и не Apply права, чтобы Domain Computers. Но тогда зачем мне добавлять Domain Computers к Security Filtering где Apply права предоставляются автоматически? Все это снова возвращается к тому же вопросу о том, в чем, по сути, разница между Security Filtering и Delegation? Я знаю, что Delegation также для предоставления пользователям и администраторам с ограничениями возможности редактировать, изменять или удалять объект групповой политики. Но что, если я использую Delegation вручную дать объекту Read и Apply права? Это то же самое, что поместить объект в Security Filtering?
Этот вопрос также задается здесь: Применяется ли объект групповой политики, если вкладка «Фильтрация безопасности» пуста, но в делегировании есть группа безопасности, у которой есть права «Чтение и применение»?
Если вы используете вкладку делегирования объекта групповой политики и нажимаете кнопку «Дополнительно», вы можете назначить разрешения на чтение и применение пользователю или группе. если вы сделаете это (и если объект групповой политики связан с правильным уровнем), то объект групповой политики будет применяться к этому пользователю или группе. более того, если вы действительно используете вкладку делегирования и щелкаете дополнительно и назначаете права чтения и применения пользователю или группе, то этот пользователь или группа появится в разделе фильтрации безопасности объекта групповой политики.
наоборот, если вы отредактируете раздел фильтрации безопасности и добавите пользователя или группу, этот пользователь или группа появятся на вкладке делегирования, и если вы посмотрите на расширенные возможности, вы увидите, что пользователь или группа появились там с разрешениями на чтение и применение.
Таким образом, фильтрация безопасности и расширенная вкладка делегирования делают то же самое!
Однако, используя вкладку делегирования, вы можете назначить дополнительное разрешение для объекта групповой политики, чтобы, например, вы могли назначить разрешение на редактирование gpo. Короче говоря, вкладка делегирования более эффективна, но если вы просто хотите, чтобы объект групповой политики применялся к пользователю или группе, вы можете использовать либо фильтрацию безопасности, либо раздел adv на вкладке делегирования.