3 votes

Windows Server: Quelle est la différence entre le filtre de sécurité (sous l'onglet Scope) et l'onglet Délégation dans la Gestion des stratégies de groupe ?

Je remarque que tout ce que j'ajoute à Filtrage de sécurité apparaît également sous Délégation, donc je ne sais pas comment ou pourquoi ils existent tous les deux, et s'ils sont redondants ou non?

Jusqu'à présent, j'utilisais exclusivement Filtrage de sécurité pour déterminer si un GPO est appliqué et à quels groupes, mais maintenant il y a un nouveau correctif pour Windows Server qui empêche mes GPO de s'appliquer à moins que j'ajoute Ordinateurs du domaine à Filtrage de sécurité... (Les GPO ne s'appliquent pas; raison : Inaccessible, Vide ou Désactivé; Server 2012 R2 et Windows 10)

Tout cela me semble très confus, car j'ai toujours pensé que les droits des GPO seraient lus de manière indépendante basée sur toute mon expérience avec les privilèges Windows. En d'autres termes, si j'ai Bob et Sue dans Groupe A et Bob et Bill et Sarah dans Groupe B, et j'ajoute Groupe A et Groupe B à un GPO avec les paramètres Lecture et Appliquer, alors je m'attends à ce que le GPO s'applique à Bob, Sue, Bill, et Sarah. (Effectivement une opération logique OU: si un utilisateur est dans Groupe A ou Groupe B, appliquer la politique).

Par conséquent, si j'ajoute Groupe A et Ordinateurs du domaine à l'onglet Filtrage de sécurité, je m'attends à ce que le GPO s'applique à Bob et Sue, mais aussi à chaque ordinateur dans le domaine, rendant effectivement Groupe A redondant, puisque chaque ordinateur recevant le GPO fera toujours partie du domaine.

Cependant, le message de l'utilisateur Adwaenyth (Les GPO ne s'appliquent pas; raison : Inaccessible, Vide ou Désactivé; Server 2012 R2 et Windows 10) semble impliquer que Filtrage de sécurité fonctionne maintenant via une sorte de logique ET, où la cible doit être membre de tous les groupes pour que le GPO s'applique. Dans mon exemple de Groupe A et Groupe B ci-dessus, alors, seul Bob appliquerait le GPO, car il est le seul dans les deux groupes.

Tout ce mystère serait résolu pour moi si j'avais seulement besoin d'ajouter des droits de Lecture, et pas des droits d'Appliquer, à Ordinateurs du domaine. Mais alors pourquoi aurais-je besoin d'ajouter Ordinateurs du domaine à Filtrage de sécurité où les droits d'Appliquer sont automatiquement accordés? Tout cela revient encore à la même question de ce qu'est effectivement la différence entre Filtrage de sécurité et Délégation? Je suis conscient que Délégation sert également à accorder aux utilisateurs et aux administrateurs limités la possibilité de modifier, modifier ou supprimer un GPO. Mais que se passe-t-il si j'utilise Délégation pour donner manuellement à une entité les droits de Lecture et Appliquer? Est-ce la même chose que de mettre l'entité dans Filtrage de sécurité?

Cette question est également posée ici : Est-ce qu'un GPO s'applique si l'onglet "Filtrage de sécurité" est vide, mais il y a un groupe de sécurité dans Délégation qui dispose des droits de Lecture et d'Application?

1voto

Michael Brown Points 3164

Si vous utilisez l'onglet de délégation d'un GPO et que vous cliquez sur Avancé, vous pouvez attribuer les autorisations de lecture et d'application à un utilisateur ou à un groupe. Si vous le faites (et si le GPO est lié au bon niveau), alors le GPO s'appliquera à cet utilisateur ou groupe. De plus, si vous utilisez l'onglet de délégation et cliquez sur Avancé et attribuez les autorisations de lecture et d'application à un utilisateur ou groupe, alors cet utilisateur ou groupe apparaîtra dans la section de filtrage de sécurité du GPO.

En revanche, si vous modifiez la section de filtrage de sécurité et ajoutez un utilisateur ou un groupe, alors cet utilisateur ou groupe apparaîtra dans l'onglet de délégation et si vous regardez en détail, vous verrez que l'utilisateur ou le groupe y est apparu avec les autorisations de lecture et d'application.

Ainsi, le filtrage de sécurité et l'onglet de délégation avancée font la même chose !

Cependant, en utilisant l'onglet de délégation, vous pouvez attribuer des autorisations supplémentaires pour le GPO, vous pourriez par exemple attribuer des autorisations de modification du GPO. En bref, l'onglet de délégation est plus puissant, mais si vous voulez simplement que le GPO s'applique à un utilisateur ou un groupe, vous pouvez utiliser soit le filtrage de sécurité, soit la section avancée de l'onglet de délégation.

0 votes

Donc la section Filtrage de sécurité est essentiellement juste un raccourci. L'onglet Délégation a toutes les mêmes fonctionnalités et plus encore. Merci!

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X