Je remarque que tout ce que j'ajoute à Filtrage de sécurité apparaît également sous Délégation, donc je ne sais pas comment ou pourquoi ils existent tous les deux, et s'ils sont redondants ou non?
Jusqu'à présent, j'utilisais exclusivement Filtrage de sécurité pour déterminer si un GPO est appliqué et à quels groupes, mais maintenant il y a un nouveau correctif pour Windows Server qui empêche mes GPO de s'appliquer à moins que j'ajoute Ordinateurs du domaine à Filtrage de sécurité... (Les GPO ne s'appliquent pas; raison : Inaccessible, Vide ou Désactivé; Server 2012 R2 et Windows 10)
Tout cela me semble très confus, car j'ai toujours pensé que les droits des GPO seraient lus de manière indépendante basée sur toute mon expérience avec les privilèges Windows. En d'autres termes, si j'ai Bob et Sue dans Groupe A et Bob et Bill et Sarah dans Groupe B, et j'ajoute Groupe A et Groupe B à un GPO avec les paramètres Lecture et Appliquer, alors je m'attends à ce que le GPO s'applique à Bob, Sue, Bill, et Sarah. (Effectivement une opération logique OU: si un utilisateur est dans Groupe A ou Groupe B, appliquer la politique).
Par conséquent, si j'ajoute Groupe A et Ordinateurs du domaine à l'onglet Filtrage de sécurité, je m'attends à ce que le GPO s'applique à Bob et Sue, mais aussi à chaque ordinateur dans le domaine, rendant effectivement Groupe A redondant, puisque chaque ordinateur recevant le GPO fera toujours partie du domaine.
Cependant, le message de l'utilisateur Adwaenyth (Les GPO ne s'appliquent pas; raison : Inaccessible, Vide ou Désactivé; Server 2012 R2 et Windows 10) semble impliquer que Filtrage de sécurité fonctionne maintenant via une sorte de logique ET, où la cible doit être membre de tous les groupes pour que le GPO s'applique. Dans mon exemple de Groupe A et Groupe B ci-dessus, alors, seul Bob appliquerait le GPO, car il est le seul dans les deux groupes.
Tout ce mystère serait résolu pour moi si j'avais seulement besoin d'ajouter des droits de Lecture, et pas des droits d'Appliquer, à Ordinateurs du domaine. Mais alors pourquoi aurais-je besoin d'ajouter Ordinateurs du domaine à Filtrage de sécurité où les droits d'Appliquer sont automatiquement accordés? Tout cela revient encore à la même question de ce qu'est effectivement la différence entre Filtrage de sécurité et Délégation? Je suis conscient que Délégation sert également à accorder aux utilisateurs et aux administrateurs limités la possibilité de modifier, modifier ou supprimer un GPO. Mais que se passe-t-il si j'utilise Délégation pour donner manuellement à une entité les droits de Lecture et Appliquer? Est-ce la même chose que de mettre l'entité dans Filtrage de sécurité?
Cette question est également posée ici : Est-ce qu'un GPO s'applique si l'onglet "Filtrage de sécurité" est vide, mais il y a un groupe de sécurité dans Délégation qui dispose des droits de Lecture et d'Application?
