文档
-
提供有关组策略故障排除的指导。
-
了解组策略处理在 Windows Server 和 Windows 客户端计算机上的 Active Directory 域服务中的工作原理。
-
了解如何使用 Windows 中的组策略管理控制台备份、还原、迁移和复制组策略对象。
如果计算机对象没有 GPO 读取权限,则无法应用用户组策略设置
本文提供了一个解决方案,说明由于权限问题,无法向用户应用组策略设置的问题。
适用于: Windows Server(所有支持的版本)、Windows 客户端(所有受支持的版本)
从一个或多个组策略对象(GPO)中删除经过身份验证的用户组的默认权限后,无法将组策略设置成功应用于用户。
当用户登录到 Windows 时,Windows 将检索应用于该用户的用户组策略设置。 在安全更新 MS16-072:组策略安全更新之前:2016 年 6 月 14 日,Windows 使用用户安全上下文执行此操作。 此安全更新更改了此功能,以便 Windows 使用计算机的安全上下文来检索用户组策略设置。
由于此更改,计算机帐户必须具有 适用于已登录用户的 GPO 的读取 权限。 默认情况下,经过身份验证的 用户组 具有 域中所有 GPO 的读取 和 应用组策略 权限。 域中的所有计算机帐户都属于“经过身份验证的用户组”,并继承这些权限。
如果已设置默认权限,组策略管理控制台(GPMC)的“作用域”选项卡将在“安全筛选”部分列出“已验证的用户”,如以下屏幕截图所示。
此外,“委派”选项卡将经过身份验证的用户的允许权限列为“读取”(从安全筛选)。 此权限对应于 Windows 权限、 读取 和 应用组策略。
某些管理员从安全筛选中删除经过身份验证的用户,以提高安全性,或使用更精细的安全组进行筛选。 此操作从 组及其所有成员中删除“读取 ” 和“应用组策略 ”权限。 为了使用户 GPO 正常工作,必须将读取权限还原到计算机对象。
备注
此问题通常不会影响使用域控制器登录到域的用户。 默认情况下,内置 企业域控制器 组具有 域中所有 GPO 的读取 权限。 因此,域控制器不依赖于经过身份验证的 用户组 来获得此权限。
如果从经过身份验证的用户中删除读取(从安全筛选)权限,则必须使用替代方法将读取权限分配给计算机对象:
向经过身份验证的用户组分配读取权限。
此方法在不还原应用组策略权限的情况下还原读取权限。
向域计算机组分配读取权限。
域中的所有计算机都属于该域中的 “域计算机” 组。
将读取权限分配给特定计算机对象或计算机所属的安全组。
重要
每当修改组策略权限时,请确保这些对象所属的用户对象、计算机对象或组不会显式拒绝对 GPO 的访问。 显式拒绝始终替代允许访问的权限。
若要解决此问题,请执行以下步骤:
在 GPMC 的 “委派 ”选项卡上,选择“ 添加”。
在 “添加组或用户 ”对话框中,选择所需的组或对象。 然后,在 “权限 ”框中,选择“ 读取”。
选择“确定”。
完成这些步骤后,“委派”选项卡将所选对象或组的允许权限列为“读取”而不是“读取”(从安全筛选)。 此差异表示对象或组没有 “应用组策略 ”权限。
请考虑仅定义用户设置的 GPO。 你想要将 GPO 应用于所有属于名为 contoso_user_group的组的特定用户。 在 GPMC 的 GPO 的“作用域”选项卡上,将contoso_user_group添加到安全筛选列表。 若要仅将 GPO 限制为该组中的用户,请从列表中删除 经过身份验证的用户 。
若要测试此配置,请在用户的计算机上运行 gpresult /h gpresult.html ,然后打开 gpresult.html 文件以查看策略结果。 在此方案中,报告指示错误(以下屏幕截图底部列出)。
若要解决此错误,必须向表示contoso_user_group成员用来登录的计算机对象的“读取”权限。 在此方案中,可以创建一 个名为contoso_computer_group的组,并将受影响的计算机添加到该组。 然后,通过使用“解析”部分中的过程,可以使用 GPMC 委派 选项卡将该组的 读取 权限分配给该组。 进行这些更改后,“ 委派 ”选项卡将列出权限,如以下屏幕截图所示。
