GPO [セキュリティのフィルタリング]タブが空の場合に適用されますが、委任に読み取りと適用の権限を持つセキュリティグループがありますか?
件名と同様に、[セキュリティフィルタリング]タブが空の場合、GPOが適用されますが、委任に読み取りと適用の権限を持つセキュリティグループがありますか?
[セキュリティフィルタリング]タブには、「このGPOの設定は、次のグループ、ユーザー、およびコンピューターにのみ適用できます:」と表示されます。
それで、セキュリティグループは[セキュリティフィルタリング]タブにもある必要がありますか、それとも正しい権限を持つ委任にある場合はそれで十分ですか?
ありがとう、
現在、[委任]タブから[グループポリシーの適用]アクセス許可を追加すると、セキュリティプリンシパルが[スコープ]タブに自動的に追加され、その逆も同様です。 (「読み取り」権限だけでは不十分であることに注意してください。)これがWindows Updateであり、この質問をしてから変更されているかどうかはわかりません。
したがって、答えは「はい」です。正しい権限を適用すれば、[委任]タブからプリンシパルを追加するだけで十分です。
GPOの[委任]タブを使用して[詳細設定]をクリックすると、ユーザーまたはグループに読み取りと適用のアクセス許可を割り当てることができます。これを行うと(そしてGPOが正しいレベルにリンクされている場合)、GPOはそのユーザーまたはグループに適用されます。これ以上に、[委任]タブを使用して[詳細]をクリックし、読み取りと適用のアクセス許可をユーザーまたはグループに割り当てると、そのユーザーまたはグループがGPOのセキュリティフィルタリングセクションに表示されます。
逆に、セキュリティフィルタリングセクションを編集してユーザーまたはグループを追加すると、そのユーザーまたはグループが[委任]タブに表示され、詳細を見ると、ユーザーまたはグループが読み取りおよび適用のアクセス許可を持って表示されていることがわかります。
したがって、セキュリティフィルタリングと高度な委任タブは同じことをしています!
ただし、[委任]タブを使用すると、GPOに追加の権限を割り当てることができるため、たとえば、gpoを編集する権限を割り当てることができます。要するに、委任タブはより強力ですが、GPOをユーザーまたはグループに適用するだけの場合は、セキュリティフィルタリングまたは委任タブのadvセクションのいずれかを使用できます。
[委任]タブは、ユーザーがグループポリシーを管理できるようにするために使用されます(グループポリシーの作成、編集、OUへのリンク、または強制)。このタブは、ポリシーによって実際に影響を受けるユーザーを定義するのに役立ちません。
ポリシーを有効にするには、[セキュリティフィルタリング]タブでポリシーを適用するグループを追加する必要があります。
このTechnetの記事はあなたを助けるかもしれません:
GPOを特定のユーザーまたはコンピューターに適用するには、そのユーザーまたはコンピューターが、明示的に、またはグループを介して効果的に、GPOに対するグループポリシーの読み取りと適用(AGP)の両方のアクセス許可を持っている必要があります。メンバーシップ。