Aracılığıyla paylaş

Bilgisayar nesnelerinin GPO Okuma izinleri yoksa kullanıcı Grup İlkesi ayarları uygulanamaz

Bu makalede, izin sorunu nedeniyle kullanıcılara Grup İlkesi ayarlarını uygulayamama sorununun çözümü sağlanır.

Şunlar için geçerlidir: Windows Server (desteklenen tüm sürümler), Windows İstemcisi (desteklenen tüm sürümler)

Belirtiler

Kimliği Doğrulanmış Kullanıcılar grubunun varsayılan izinlerini bir veya daha fazla Grup İlkesi Nesnesinden (GPO) kaldırdıktan sonra, kullanıcılara Grup İlkesi ayarlarını başarıyla uygulayamazsınız.

Neden

Bir kullanıcı Windows'ta oturum açtığında, Windows bu kullanıcıya uygulanan kullanıcı Grup İlkesi ayarlarını alır. Güvenlik güncelleştirmesi MS16-072: Grup İlkesi için güvenlik güncelleştirmesi: 14 Haziran 2016'dan önce, Windows bu işlem için kullanıcı güvenlik bağlamını kullanmıştı. Bu güvenlik güncelleştirmesi, Windows'un kullanıcı Grup İlkesi ayarlarını almak için bilgisayarın güvenlik bağlamını kullanması için bu işlevi değiştirdi.

Bu değişiklik nedeniyle, bilgisayar hesabının oturum açmış kullanıcıya uygulanan GPO'lar için Okuma izinlerine sahip olması gerekir. Varsayılan olarak, Kimliği Doğrulanmış Kullanıcılar grubu, etki alanındaki tüm GPO'lar için Okuma ve Uygulama grup ilkesi izinlerine sahiptir. Etki alanındaki tüm bilgisayar hesapları Kimliği Doğrulanmış Kullanıcılar grubuna aittir ve bu izinleri devralır.

Varsayılan izinler varsa, aşağıdaki ekran görüntüsünde gösterildiği gibi, Grup İlkesi Yönetim Konsolu'nun (GPMC) Kapsam sekmesinde Güvenlik Filtreleme bölümünde Kimliği Doğrulanmış Kullanıcılar listelenir.

G.P.M.C. Kapsam sekmesinin Güvenlik Filtreleme bölümünü gösteren ekran görüntüsü.

Ayrıca, Temsilci Seçme sekmesinde Kimliği Doğrulanmış Kullanıcılar için izin verilen izinLer Okundu olarak listelenir (Güvenlik Filtreleme'den) . Bu izin, Grup İlkesi Okuma ve Uygulama Windows izinlerine karşılık gelir.

G.P.M.C. Temsilci seçme sekmesinde erişilen Kimliği Doğrulanmış Kullanıcılar grubunun varsayılan izinlerini gösteren ekran görüntüsü.

Bazı yöneticiler güvenliği geliştirmek veya filtreleme için daha ayrıntılı güvenlik grupları kullanmak için Kimliği Doğrulanmış Kullanıcıları Güvenlik Filtreleme'den kaldırır. Bu eylem hem Okuma hem de Uygula grup ilkesi izinlerini gruptan ve tüm üyelerinden kaldırır. Kullanıcı GPO'larının düzgün çalışması için bilgisayar nesnelerine Okuma iznini geri yüklemeniz gerekir.

Not

Bu sorun genellikle bir etki alanında oturum açmak için etki alanı denetleyicileri kullanan kullanıcıları etkilemez. Varsayılan olarak, yerleşik Enterprise Domain Controllers grubu etki alanındaki tüm GPO'lar için Okuma iznine sahiptir. Bu nedenle, etki alanı denetleyicileri bu izin için Kimliği Doğrulanmış Kullanıcılar grubuna güvenmez.

Çözüm

Kimliği Doğrulanmış Kullanıcılardan Okuma (Güvenlik Filtrelemesinden) iznini kaldırırsanız, bilgisayar nesnelerine Okuma izni atamak için alternatif bir yöntem kullanmanız gerekir:

  • Kimliği Doğrulanmış Kullanıcılar grubuna Okuma izni atayın.

    Bu yaklaşım, Grup ilkesi uygula iznini geri yüklemeden Okuma iznini geri yükler.

  • Etki Alanı Bilgisayarları grubuna Okuma izni atayın.

    Etki alanındaki tüm bilgisayarlar, bu etki alanındaki Etki Alanı Bilgisayarları grubuna aittir.

  • Belirli bilgisayar nesnelerine veya bilgisayarların ait olduğu bir güvenlik grubuna Okuma izni atayın.

Önemli

Grup İlkesi izinlerini her değiştirdiğinizde, bu nesnelerin ait olduğu kullanıcı nesnelerinin, bilgisayar nesnelerinin veya grupların GPO'lara erişiminin açıkça reddedilmediğinden emin olun. Açık bir reddetme her zaman başka bir şekilde erişime izin verecek bir izni geçersiz kılar.

Sorunu çözmek için şu adımları izleyin:

  1. GPMC'de, Temsilci seçme sekmesinde Ekle'yi seçin.

  2. Grup veya Kullanıcı Ekle iletişim kutusunda, istediğiniz grubu veya nesneyi seçin. Ardından İzinler kutusunda Oku'ya tıklayın.

  3. Tamam'ı seçin.

Bu adımları tamamladıktan sonra, Temsilci Seçme sekmesi seçili nesne veya grup için izin verilen izni Okuma yerine Okuma olarak listeler (Güvenlik Filtreleme'den) . Bu fark, nesnenin veya grubun Grup ilkesi uygula iznine sahip olmadığını gösterir.

G.P.M.C. Temsilci seçme sekmesinden erişilen Kimliği Doğrulanmış Kullanıcılar grubunun azaltılmış izinlerini gösteren ekran görüntüsü.

Örnek senaryo

Yalnızca kullanıcı ayarlarını tanımlayan bir GPO düşünün. GPO'nun tümü contoso_user_group adlı bir gruba ait olan belirli kullanıcılara uygulamak istiyorsunuz. GPMC'de, GPO'ya yönelik Kapsam sekmesinde güvenlik filtreleme listesine contoso_user_group eklersiniz. GPO'nun yalnızca bu gruptaki kullanıcılarla sınırlandırılması için, Kimliği Doğrulanmış Kullanıcılar'ı listeden kaldırırsınız.

Bu yapılandırmayı test etmek için kullanıcının bilgisayarında çalıştırıp gpresult /h gpresult.html gpresult.html dosyasını açarak ilke sonuçlarını görüntüleyebilirsiniz. Bu senaryoda, rapor bir hatayı gösterir (aşağıdaki ekran görüntüsünün altında listelenmiştir).

Doğru izinlere sahip olmayan bir istemci bilgisayardan elde edilen Grup İlkesi raporunu gösteren ekran görüntüsü.

Bu hatayı çözmek için, contoso_user_group üyelerinin oturum açmak için kullandığı bilgisayarları temsil eden bilgisayar nesnelerine Okuma izni vermeniz gerekir. Bu senaryoda, contoso_computer_group adlı bir grup oluşturabilir ve etkilenen bilgisayarları bu gruba ekleyebilirsiniz. Ardından, "Çözüm" bölümündeki yordamı kullanarak, GPMC Temsilci Seçme sekmesini kullanarak bu gruba Okuma izni atayabilirsiniz. Bu değişiklikler yapıldıktan sonra, Temsilci Seçme sekmesi aşağıdaki ekran görüntüsünde gösterildiği gibi izinleri listeler.

Örnek senaryo için Temsilci seçme sekmesindeki doğru izinleri gösteren ekran görüntüsü.