如果計算機對象沒有 GPO 讀取許可權，則無法套用使用者組策略設定

本文提供因許可權問題而無法將組策略設定套用至使用者的問題解決方案。

適用於： Windows Server（所有支援的版本）、Windows 用戶端（所有支援的版本）

徵兆

從一或多個組策略物件 （GPO） 移除 [已驗證的使用者] 群組的預設許可權之後，就無法成功將組策略設定套用至使用者。

原因

當使用者登入 Windows 時，Windows 會擷取套用至該使用者的使用者組策略設定。 在安全性更新 MS16-072：組策略的安全性更新 之前：2016 年 6 月 14 日，Windows 會使用此作業的使用者安全性內容。 此安全性更新已變更此功能，讓 Windows 使用電腦的安全性內容來擷取使用者組策略設定。

由於這項變更，計算機帳戶必須具有 套用至登入使用者的 GPO 讀取 許可權。 根據預設， 已驗證的使用者 群組具有 網域中所有 GPO 的讀取 和 套用組策略 許可權。 網域中的所有計算機帳戶都屬於 [已驗證的使用者 ] 群組，並繼承這些許可權。

如果默認許可權已就緒，組策略管理控制台 [GPMC] 的 [範圍] 索引標籤會在 [安全性篩選] 區段中列出 [已驗證的使用者]，如下列螢幕快照所示。

此外，[委派] 索引標籤會將 [已驗證的使用者] 允許的許可權列為 [讀取] （從安全性篩選） 。 此許可權會對應至 Windows 許可權、 讀取 和 套用組策略。

某些系統管理員會從安全性篩選中移除已驗證的使用者，以改善安全性，或使用更細微的安全組進行篩選。 此動作會 從群組及其所有成員中移除 [讀取 ] 和 [ 套用組策略 ] 許可權。 為了讓使用者 GPO 正常運作，您必須將讀取許可權還原到計算機物件。

注意

此問題通常不會影響使用域控制器登入網域的使用者。 根據預設，內 建企業域控制器 群組具有 網域中所有 GPO 的讀取 許可權。 因此，域控制器不會依賴此許可權的 已驗證使用者 群組。

解決方法

如果您從已驗證的使用者移除讀取 （從安全性篩選） 權限，則必須使用替代方法，將讀取許可權指派給電腦物件：

• 將 [讀取] 許可權指派給 [已驗證的使用者] 群組。

  此方法會 還原讀取 許可權，而不需要還原 [ 套用組策略 ] 許可權。

• 將 [讀取] 許可權指派給 [網域計算機] 群組。

  網域中的所有計算機都屬於 該網域中的 [網域計算機] 群組。

• 將讀取許可權指派給特定計算機物件，或指派給計算機所屬的安全組。

重要

每當修改組策略許可權時，請確定這些物件所屬的使用者對象、計算機物件或群組不會明確拒絕對 GPO 的存取。 明確拒絕一律會覆寫允許存取的許可權。

若要解決此問題，請遵循下列步驟：

1. 在 GPMC 的 [委派 ] 索引標籤上，選取 [ 新增]。

2. 在 [ 新增群組或使用者 ] 對話框中，選取您想要的群組或物件。 然後，在 [ 許可權] 方塊中，選取 [ 讀取]。

3. 選取 [確定]。

完成這些步驟之後，[委派] 索引標籤會將所選物件或群組的允許許可權列為 [讀取]，而不是 [從安全性篩選] 。 這個差異表示物件或群組沒有套 用組策略 許可權。

範例案例

請考慮只定義使用者設定的 GPO。 您想要將 GPO 套用至所有屬於名為 contoso_user_group 群組的特定使用者。 在 GPMC 中，在 GPO 的 [範圍] 索引標籤上，您會將contoso_user_group新增至 [安全性篩選] 清單。 若要將 GPO 限制為只有該群組中的使用者，請從清單中移除 [已驗證的使用者 ]。

若要測試此設定，您可以在使用者的計算機上執行 gpresult /h gpresult.html ，然後開啟 gpresult.html 檔案來檢視原則結果。 在此案例中，報告會指出錯誤（列在下列螢幕快照底部）。

若要解決此錯誤，您必須將 Read 許可權授與代表contoso_user_group成員用來登入之電腦的計算機物件。 在此案例中，您可以建立名為 contoso_computer_group 的群組，並將受影響的計算機新增至該群組。 然後，您可以使用 [解析] 區段中的程式，使用 [GPMC 委派 ] 索引卷標，將該群組的 [讀取 ] 許可權指派給該群組。 進行這些變更之後，[ 委派 ] 索引標籤會列出許可權，如下列螢幕快照所示。