如果计算机对象没有 GPO 读取权限,则无法应用用户组策略设置
如果计算机对象没有 GPO 读取权限,则无法应用用户组策略设置
在Windows系统中,组策略(Group Policy)是管理员用来控制用户环境和计算机设置的重要工具。然而,当计算机对象没有足够的权限读取组策略对象(GPO)时,可能会导致用户组策略设置无法正确应用。本文将详细介绍这一问题的现象、原因,并提供具体的解决方案。
本文提供了一个解决方案,说明由于权限问题,无法向用户应用组策略设置的问题。
适用于:Windows Server(所有支持的版本)、Windows 客户端(所有受支持的版本)
现象
从一个或多个组策略对象(GPO)中删除经过身份验证的用户组的默认权限后,无法将组策略设置成功应用于用户。
原因
当用户登录到 Windows 时,Windows 将检索应用于该用户的用户组策略设置。 在安全更新MS16-072:组策略安全更新之前:2016 年 6月 14 日,Windows 使用用户安全上下文执行此操作。 此安全更新更改了此功能,以便 Windows 使用计算机的安全上下文来检索用户组策略设置。
由于此更改,计算机帐户必须具有适用于已登录用户的 GPO 的读取权限。 默认情况下,经过身份验证的用户组具有域中所有 GPO 的读取和应用组策略权限。 域中的所有计算机帐户都属于“经过身份验证的用户组”,并继承这些权限。
如果已设置默认权限,组策略管理控制台(GPMC)的“作用域”选项卡将在“安全筛选”部分列出“已验证的用户”,如以下屏幕截图所示。
此外,“委派”选项卡将经过身份验证的用户**的允许权限列为“读取”(从安全筛选)。此权限对应于 Windows 权限、读取和应用组策略**。
某些管理员从安全筛选中删除经过身份验证的用户,以提高安全性,或使用更精细的安全组进行筛选。 此操作从组及其所有成员中删除“读取”和“应用组策略”权限。 为了使用户 GPO 正常工作,必须将读取权限还原到计算机对象。
注意
此问题通常不会影响使用域控制器登录到域的用户。 默认情况下,内置企业域控制器组具有域中所有 GPO 的读取权限。 因此,域控制器不依赖于经过身份验证的用户组来获得此权限。
解决方法
如果从经过身份验证的用户中删除读取(从安全筛选)权限,则必须使用替代方法将读取权限分配给计算机对象:
向经过身份验证的用户组分配读取权限。
此方法在不还原应用组策略权限的情况下还原读取权限。向域计算机组分配读取权限。
域中的所有计算机都属于该域中的“域计算机”组。将读取权限分配给特定计算机对象或计算机所属的安全组。
重要
每当修改组策略权限时,请确保这些对象所属的用户对象、计算机对象或组不会显式拒绝始终替代允许访问的权限。
若要解决此问题,请执行以下步骤:
在 GPMC 的“委派”选项卡上,选择“添加”。
在“添加组或用户”对话框中,选择所需的组或对象。 然后,在“权限”框中,选择“读取”。
选择“确定”。
完成这些步骤后,“委派”选项卡将所选对象或组的允许权限列为“读取”而不是“读取”(从安全筛选)。此差异表示对象或组没有“应用组策略”权限。
示例方案
请考虑仅定义用户设置的 GPO。 你想要将 GPO 应用于所有属于名为contoso_user_group的组的特定用户。 在 GPMC 的 GPO 的“作用域”选项卡上,将contoso_user_group**添加到安全筛选列表。 若要仅将 GPO 限制为该组中的用户,请从列表中删除经过身份验证的用户**。
若要测试此配置,请在用户的计算机上运行
gpresult /h gpresult.html
,然后打开gpresult.html文件以查看策略结果。 在此方案中,报告指示错误(以下屏幕截图底部列出)。
若要解决此错误,必须向表示contoso_user_group成员用来登录的计算机对象的“读取”权限。 在此方案中,可以创建一个名为contoso_computer_group的组,并将受影响的计算机添加到该组。 然后,通过使用“解析”部分中的过程,可以使用 GPMC委派选项卡将该组的读取权限分配给该组。 进行这些更改后,“委派”选项卡将列出权限,如以下屏幕截图所示。
本文原文来自微软官方文档