Security Filtering
に追加したものもDelegation
の下に表示されるので、両方がどのように、なぜ存在するのか、またそれらが重複しているかどうかはわかりません。
これまでは、Security Filtering
を排他的に使用してGPOが適用されるかどうか、およびどのグループに適用されるかを判断していましたが、Windows Serverに新しいパッチがあり、Domain Computers
を追加しない限り、GPOの適用を停止しますSecurity Filtering
...( GPOが適用されない;理由:アクセス不能、空、または無効; Server 2012 R2およびWindows 1 )
GPO権限は、Windows特権のすべての経験に基づいて個別に読み取られると常に思っていたので、これは非常に混乱しているようです。つまり、Bob
Group A
内のSue
とBob
とBill
内のSarah
とGroup B
内のRead
、そしてGroup A
とGroup B
をGPO Apply
とBob
を設定すると、GPOがSue
、Bill
、_ [に適用されます$ var] _、およびSarah
。(事実上、論理的なOR
操作:ユーザーがGroup A
またはGroup B
にいる場合、ポリシーを適用します)。
したがって、Group A
とDomain Computers
をSecurity Filtering
タブに追加すると、GPOがBob
とSue
だけでなくすべてのコンピューターに適用されると予想されます。 GPOを受信するすべてのコンピューターは常にドメインの一部になるため、ドメインでは、Group A
を効果的に冗長化します。
ただし、ユーザーAdwaenythによる投稿( GPOが適用されない、理由:アクセス不可、空、または無効; Server 2012 R2およびWindows 1 )は、Security Filtering
がAND
一種のロジック。ターゲットはGPOを適用するにはすべてのグループのメンバーである必要があります。上記のGroup A
およびGroup B
の例では、Bob
のみが彼は両方のグループで1人だけなので、GPOを適用します。
Read
権限を追加するだけで、不可Apply
権限を追加すれば、この謎全体が解決されます。 Domain Computers
に。しかし、_Apply
権限が自動的に付与されるDomain Computers
にSecurity Filtering
を追加する必要があるのはなぜですか?これはすべて、同じようにSecurity Filtering
とDelegation
の違いは何ですか? Delegation
は、GPOを編集、変更、または削除する機能をユーザーおよび制限付き管理者に付与するためのものでもあることを承知しています。しかし、Delegation
を使用してエンティティにRead
およびApply
権限を手動で付与するとどうなりますか?エンティティをSecurity Filtering
に配置するのと同じですか?
この質問もここで提示されます: 「セキュリティフィルタリング」タブが空の場合、GPOが適用されますが、委任に読み取りと適用の権限を持つセキュリティグループがありますか? =
GPOの[委任]タブを使用して[詳細]をクリックすると、ユーザーまたはグループに読み取りと適用のアクセス許可を割り当てることができます。これを行うと(GPOは正しいレベルにリンクされています)GPOはそのユーザーまたはグループに適用されます。委任タブを使用して[詳細設定]をクリックし、読み取りと適用のアクセス許可を割り当てると、これよりも多くなります。ユーザーまたはグループに対して、そのユーザーまたはグループがGPOのセキュリティフィルターセクションに表示されます。
逆に、セキュリティフィルターのセクションを編集してユーザーまたはグループを追加すると、そのユーザーまたはグループが[委任]タブに表示され、詳細を見ると、ユーザーまたはグループがそこに表示され、読み取りおよび適用のアクセス許可を持っていることがわかります。
したがって、セキュリティフィルタリングと高度な委任タブは同じことをしています!
ただし、委任タブを使用すると、GPOに追加のアクセス許可を割り当てることができるため、たとえば、gpoを編集するためのアクセス許可を割り当てることができます。つまり、委任タブはより強力ですが、GPOユーザーまたはグループに適用するには、セキュリティフィルタリングまたは委任タブのadvセクションを使用できます。