web-dev-qa-db-ja.com

GPO OUセキュリティグループには適用されません

基本的に、私はActive Directoryを練習するためにホーム仮想ラボを作成しました。Hyper-Vを使用してデスクトップ上でWindowsサーバー2016の仮想バージョンを実行しており、クライアントマシンとして使用している別の物理ラップトップを持っています

すべてがスムーズに実行されていますが、ユーザーが座っているOUを階層的に含むOUにリンクしている場合でも、特定のセキュリティグループに適用するGPOを取得できません(うまくいけば、センス)...

これらは私が理解を助けるために撮ったスクリーンショットです

https://res.cloudinary.com/dlkdmqcop/image/upload/v1552599131/AD_USERS_fa9yb2.png

https://res.cloudinary.com/dlkdmqcop/image/upload/v1552599131/GPO_hhplok.png

GPO=をOU SWIに関連付け、セキュリティグループUK-SWI1-GG-USERSに適用しようとしています。

GPOは、Authenticated Usersのままにしておけば問題なく機能します。

どんな情報でも大歓迎です。

2
Elbow.Wizard

ユーザーグループポリシーを適用するには、ユーザーがログインしているコンピューターに、グループポリシーオブジェクトを読み取るためのアクセス権が必要です。

デフォルトでは、GPOがフィルタリングされていない場合、Authenticated Usersには「グループポリシーの適用」と「読み取り」の両方の権限があり、すべてが機能します。GPOは特定のグループにフィルターされますが、問題のコンピューターに必要な読み取りアクセス許可を明示的に付与する必要があります。

ほとんどの場合、[委任]タブを使用して、Authenticated Usersに読み取りアクセス権を付与する必要があります。

グループポリシーオブジェクトの内容が機密である(たとえば、パスワードが含まれている)まれなイベントでは、代わりにDomain Computersグループへの読み取りアクセス権を与えることをお勧めします。グループポリシーを適用できます。これは、グループポリシーオブジェクトのコンテンツへのアクセスを取得する悪意のあるユーザーに対する包括的な保護を提供するではないことに注意してください。グループポリシーオブジェクトには、パスワードなどの機密情報を含めないでください

この動作は、2016年のセキュリティ更新で初めて導入され、Microsoftの記事 グループポリシーセキュリティ更新の展開MS16-072\KB3163622 で説明されています。

1
Harry Johnston