Windows Server: qual é a diferença entre Filtragem de Segurança (na guia Escopo) e a guia Delegação no Gerenciamento de Diretiva de Grupo?

3

Percebo que qualquer coisa que eu adicione ao Security Filtering também aparece em Delegation , então não sei como ou por que eles existem e se são redundantes ou não?

Até agora eu estava usando exclusivamente Security Filtering para determinar se um GPO é aplicado e para quais grupos, mas agora há um novo patch para o Windows Server que impede a aplicação de meus GPOs, a menos que eu adicione Domain Computers to Security Filtering ... ( GPOs não se aplica, motivo: Inacessível, Vazio ou Desativado; Server 2012 R2 e Windows 10 )

Isso parece muito confuso para mim, pois sempre achei que os direitos de GPO seriam lidos independentemente com base em toda minha experiência com privilégios do Windows. Em outras palavras, se eu tiver Bob e Sue em Group A e Bob e Bill e Sarah in Group B , adicionarei Group A e Group B a um GPO com Read e Apply set, então espero que o GPO seja aplicado a Bob , Sue , Bill e Sarah . (Efetivamente, uma operação lógica OR : se um usuário estiver em Group A ou Group B , aplique a política).

Portanto, se eu adicionar Group A e Domain Computers à guia Security Filtering , esperaria que o GPO se aplicasse a Bob e Sue , mas também a todos os computadores do domínio, tornando-os eficientes Group A redundante, já que todos os computadores que recebem o GPO sempre farão parte do domínio.

No entanto, a postagem feita pelo usuário Adwaenyth ( Os GPOs não se aplicam; motivo: Inacessível, Vazio ou Desativado; Server 2012 R2 e Windows 10 ) parece implicar que Security Filtering agora está operando por meio de um AND kind de lógica, em que o destino deve ser um membro de todos os grupos para o GPO se aplicar. No meu exemplo de Group A e Group B acima, apenas Bob aplicaria o GPO, pois ele é o único em ambos os grupos.

Todo esse mistério seria resolvido para mim se eu precisasse adicionar apenas Read direitos e não Apply direitos, para Domain Computers . Mas então, por que preciso adicionar Domain Computers a Security Filtering , onde Apply direitos são automaticamente concedidos? Tudo isso volta à mesma questão de qual, efetivamente, é a diferença entre Security Filtering e Delegation ? Estou ciente de que Delegation também é para conceder aos usuários e administradores limitados a capacidade de editar, modificar ou excluir um GPO. Mas e se eu usar Delegation para atribuir manualmente uma entidade Read e Apply direitos? Isso é o mesmo que colocar a entidade em Security Filtering ?

Esta questão também é colocada aqui: Um GPO é aplicado se a guia" Filtragem de segurança "estiver vazia, mas há um grupo de segurança na delegação que tenha direitos Ler e Aplicar corretamente?

    
por Daniel 25.06.2016 / 00:46

1 resposta

0

Se você usar a guia de delegação de um GPO e clicar em avançado, poderá atribuir as permissões Ler e Aplicar a um usuário ou grupo. se você fizer isso (e se o GPO estiver vinculado ao nível correto), o GPO será aplicado a esse usuário ou grupo. mais do que isso, se você usar a guia de delegação e clicar em avançado e atribuir as permissões de leitura e aplicação a um usuário ou grupo, esse usuário ou grupo aparecerá na seção de filtragem de segurança do GPO.

ao contrário, se você editar a seção de filtragem de segurança e adicionar um usuário ou grupo, esse usuário ou grupo aparecerá na guia de delegação e, se você observar avançado, verá que o usuário ou grupo apareceu lá com a leitura e aplicar permissões.

Assim, a filtragem de segurança e a guia de delegação avançada estão fazendo a mesma coisa!

No entanto, usando a guia de delegação, você pode atribuir permissão adicional ao GPO para poder atribuir permissão para editar o gpo, por exemplo. Em suma, a guia de delegação é mais eficiente, mas se você quiser que o GPO seja aplicado a um usuário ou grupo, poderá usar a filtragem de segurança ou a seção adv da guia de delegação.

    
por 26.06.2016 / 13:03