Je remarque que tout ce que j'ajoute à Security Filtering apparaît également sous Delegation Je ne sais donc pas comment ou pourquoi ils existent tous les deux, et s'ils sont redondants ou non ?
Jusqu'à présent, j'utilisais exclusivement Security Filtering pour déterminer si une GPO est appliquée et à quels groupes, mais il y a maintenant un nouveau correctif pour Windows Server qui empêche mes GPO de s'appliquer à moins que je n'ajoute Domain Computers a Security Filtering ... ( Les GPOs ne s'appliquent pas ; raison : Inaccessible, Vide ou Désactivé ; Server 2012 R2 et Windows 10 )
Cela me semble très déroutant, car j'ai toujours pensé que les droits des GPO étaient indépendants de la lecture, d'après toute mon expérience des privilèges Windows. En d'autres termes, si j'ai Bob y Sue sur Group A y Bob y Bill y Sarah sur Group B et j'ajoute Group A y Group B à une GPO avec Read y Apply alors je m'attends à ce que la GPO s'applique à l'ensemble des éléments suivants Bob , Sue , Bill y Sarah . (Effectivement, une logique OR opération : si un utilisateur est dans Group A o Group B , appliquer la politique).
Par conséquent, si j'ajoute Group A y Domain Computers au Security Filtering je m'attendrais à ce que la GPO s'applique à Bob y Sue mais aussi à tous les ordinateurs du domaine, ce qui a pour effet de rendre l'accès à l'Internet plus difficile. Group A redondant, puisque chaque ordinateur recevant la GPO fera toujours partie du domaine.
Cependant, le message de l'utilisateur Adwaenyth ( Les GPOs ne s'appliquent pas ; raison : Inaccessible, Vide ou Désactivé ; Server 2012 R2 et Windows 10 ) semble impliquer que Security Filtering fonctionne désormais via un AND où la cible doit être membre de tous les groupes pour que la GPO s'applique. Dans mon exemple de Group A y Group B ci-dessus, alors, seulement Bob appliquerait la GPO, car il est le seul dans les deux groupes.
Tout ce mystère serait résolu pour moi si j'avais seulement besoin de rajouter Read les droits, et no Apply droits, à Domain Computers . Mais alors pourquoi ai-je besoin d'ajouter Domain Computers a Security Filtering donde Apply les droits sont automatiquement accordés ? Tout ceci nous ramène à la même question : quelle est, en fait, la différence entre Security Filtering y Delegation ? Je suis conscient que Delegation sert également à accorder aux utilisateurs et aux administrateurs limités la possibilité d'éditer, de modifier ou de supprimer une GPO. Mais que faire si j'utilise Delegation pour donner manuellement à une entité Read y Apply droits ? Est-ce la même chose que de mettre l'entité dans Security Filtering ?
Cette question est également posée ici : Une GPO s'applique-t-elle si l'onglet "Security Filtering" est vide, mais qu'il y a un groupe de sécurité dans la délégation qui a le droit de lire et d'appliquer ?
