通过 AGPM 对组策略对象权限的更改将被忽略

本文针对以下问题提供了解决方法：高级组策略管理 (AGPM) 中控制组策略对象权限的更改未按预期保存。

适用于： Windows Server (所有受支持的版本) 、Windows 客户端 (所有受支持的版本)
原始 KB 编号： 3174540

症状

若要更改 AGPM 中控制的组策略对象的权限，请先在 AGPM 中检查策略，然后在策略对象的“安全性”选项卡上编辑权限。 例如，向经过身份验证的用户添加只读权限。 但是，在策略中检查保存更改，然后查看策略上的“安全”选项卡后，会看到更改未按预期保存。

原因

此行为在 AGPM 4.0 Service Pack 3 (SP3) 及更低版本中设计。 若要向新创建的组策略对象添加权限，建议使用 AGPM 中的“生产委派”选项卡。

解决方法

若要解决此问题，请按照下列步骤操作：

1. 在 AGPM 服务器上安装 Microsoft 桌面优化包 2017 年 3 月服务版本 。

2. 在 AGPM 服务器上设置以下注册表项和值。

   • 路径： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Agpm
   • 值名称：OverrideRemovePermissionsWithoutReadAndApply
   • 值类型：字符串REG_SZ
   • 值数据：1

3. 重启 AGPM 服务器。

如果 OverrideRemovePermissionsWithoutReadandApply 设置为 1，则在将策略签入 AGPM 后，读取权限将保存，但会删除写入权限。

如果未设置 OverrideRemovePermissionsWithoutReadAndApply 或设置为 除 1 以外的任何值，则 AGPM 的行为方式与 症状 部分中所述的方式相同。

References

• Microsoft Advanced 组策略 Management 4.0 的分步指南
• 概述系列：高级组策略管理
• Microsoft AGPM 4.0 操作指南