Je remarque que tout ce que j'ajoute à Filtrage de sécurité
apparaît également sous Délégation
, donc je ne sais pas comment ou pourquoi ils existent tous les deux, et s'ils sont redondants ou non?
Jusqu'à présent, j'utilisais exclusivement Filtrage de sécurité
pour déterminer si un GPO est appliqué et à quels groupes, mais maintenant il y a un nouveau correctif pour Windows Server qui empêche mes GPO de s'appliquer à moins que j'ajoute Ordinateurs du domaine
à Filtrage de sécurité
... (Les GPO ne s'appliquent pas; raison : Inaccessible, Vide ou Désactivé; Server 2012 R2 et Windows 10)
Tout cela me semble très confus, car j'ai toujours pensé que les droits des GPO seraient lus de manière indépendante basée sur toute mon expérience avec les privilèges Windows. En d'autres termes, si j'ai Bob
et Sue
dans Groupe A
et Bob
et Bill
et Sarah
dans Groupe B
, et j'ajoute Groupe A
et Groupe B
à un GPO avec les paramètres Lecture
et Appliquer
, alors je m'attends à ce que le GPO s'applique à Bob
, Sue
, Bill
, et Sarah
. (Effectivement une opération logique OU
: si un utilisateur est dans Groupe A
ou Groupe B
, appliquer la politique).
Par conséquent, si j'ajoute Groupe A
et Ordinateurs du domaine
à l'onglet Filtrage de sécurité
, je m'attends à ce que le GPO s'applique à Bob
et Sue
, mais aussi à chaque ordinateur dans le domaine, rendant effectivement Groupe A
redondant, puisque chaque ordinateur recevant le GPO fera toujours partie du domaine.
Cependant, le message de l'utilisateur Adwaenyth (Les GPO ne s'appliquent pas; raison : Inaccessible, Vide ou Désactivé; Server 2012 R2 et Windows 10) semble impliquer que Filtrage de sécurité
fonctionne maintenant via une sorte de logique ET
, où la cible doit être membre de tous les groupes pour que le GPO s'applique. Dans mon exemple de Groupe A
et Groupe B
ci-dessus, alors, seul Bob
appliquerait le GPO, car il est le seul dans les deux groupes.
Tout ce mystère serait résolu pour moi si j'avais seulement besoin d'ajouter des droits de Lecture
, et pas des droits d'Appliquer
, à Ordinateurs du domaine
. Mais alors pourquoi aurais-je besoin d'ajouter Ordinateurs du domaine
à Filtrage de sécurité
où les droits d'Appliquer
sont automatiquement accordés? Tout cela revient encore à la même question de ce qu'est effectivement la différence entre Filtrage de sécurité
et Délégation
? Je suis conscient que Délégation
sert également à accorder aux utilisateurs et aux administrateurs limités la possibilité de modifier, modifier ou supprimer un GPO. Mais que se passe-t-il si j'utilise Délégation
pour donner manuellement à une entité les droits de Lecture
et Appliquer
? Est-ce la même chose que de mettre l'entité dans Filtrage de sécurité
?
Cette question est également posée ici : Est-ce qu'un GPO s'applique si l'onglet "Filtrage de sécurité" est vide, mais il y a un groupe de sécurité dans Délégation qui dispose des droits de Lecture et d'Application?