web-dev-qa-db-ja.com

Windows Server:(スコープタブの下の)セキュリティフィルタリングとグループポリシー管理の委任タブの違いは何ですか?

Security Filteringに追加したものもDelegationの下に表示されるので、両方がどのように、なぜ存在するのか、またそれらが重複しているかどうかはわかりません。

これまでは、Security Filteringを排他的に使用してGPOが適用されるかどうか、およびどのグループに適用されるかを判断していましたが、Windows Serverに新しいパッチがあり、Domain Computersを追加しない限り、GPOの適用を停止しますSecurity Filtering...( GPOが適用されない;理由:アクセス不能、空、または無効; Server 2012 R2およびWindows 1

GPO権限は、Windows特権のすべての経験に基づいて個別に読み取られると常に思っていたので、これは非常に混乱しているようです。つまり、BobGroup A内のSueBobBill内のSarahGroup B内のRead、そしてGroup AGroup BをGPO ApplyBobを設定すると、GPOがSueBill、_ [に適用されます$ var] _、およびSarah。(事実上、論理的なOR操作:ユーザーがGroup AまたはGroup Bにいる場合、ポリシーを適用します)。

したがって、Group ADomain ComputersSecurity Filteringタブに追加すると、GPOがBobSueだけでなくすべてのコンピューターに適用されると予想されます。 GPOを受信するすべてのコンピューターは常にドメインの一部になるため、ドメインでは、Group Aを効果的に冗長化します。

ただし、ユーザーAdwaenythによる投稿( GPOが適用されない、理由:アクセス不可、空、または無効; Server 2012 R2およびWindows 1 )は、Security FilteringAND一種のロジック。ターゲットはGPOを適用するにはすべてのグループのメンバーである必要があります。上記のGroup AおよびGroup Bの例では、Bobのみが彼は両方のグループで1人だけなので、GPOを適用します。

Read権限を追加するだけで、不可Apply権限を追加すれば、この謎全体が解決されます。 Domain Computersに。しかし、_Apply権限が自動的に付与されるDomain ComputersSecurity Filteringを追加する必要があるのはなぜですか?これはすべて、同じようにSecurity FilteringDelegationの違いは何ですか? Delegationは、GPOを編集、変更、または削除する機能をユーザーおよび制限付き管理者に付与するためのものでもあることを承知しています。しかし、Delegationを使用してエンティティにReadおよびApply権限を手動で付与するとどうなりますか?エンティティをSecurity Filteringに配置するのと同じですか?

この質問もここで提示されます: 「セキュリティフィルタリング」タブが空の場合、GPOが適用されますが、委任に読み取りと適用の権限を持つセキュリティグループがありますか? =

3
Daniel

GPOの[委任]タブを使用して[詳細]をクリックすると、ユーザーまたはグループに読み取りと適用のアクセス許可を割り当てることができます。これを行うと(GPOは正しいレベルにリンクされています)GPOはそのユーザーまたはグループに適用されます。委任タブを使用して[詳細設定]をクリックし、読み取りと適用のアクセス許可を割り当てると、これよりも多くなります。ユーザーまたはグループに対して、そのユーザーまたはグループがGPOのセキュリティフィルターセクションに表示されます。

逆に、セキュリティフィルターのセクションを編集してユーザーまたはグループを追加すると、そのユーザーまたはグループが[委任]タブに表示され、詳細を見ると、ユーザーまたはグループがそこに表示され、読み取りおよび適用のアクセス許可を持っていることがわかります。

したがって、セキュリティフィルタリングと高度な委任タブは同じことをしています!

ただし、委任タブを使用すると、GPOに追加のアクセス許可を割り当てることができるため、たとえば、gpoを編集するためのアクセス許可を割り当てることができます。つまり、委任タブはより強力ですが、GPOユーザーまたはグループに適用するには、セキュリティフィルタリングまたは委任タブのadvセクションを使用できます。

0
Michael Brown