iT邦幫忙

0

GPO 使用群組的方式無法成功套用

  • 分享至 

  • xImage

各位好
我正在測試限制部分電腦套用WSUS的GPO,發現直接加入安全性篩選的客戶端可以成功套用
但加入群組(Domain Client)並套用進安全性篩選的方式加入卻無法執行,
客戶端會顯示<拒絕存取 (安全性篩選器)>
https://ithelp.ithome.com.tw/upload/images/20230603/20160646OIi3pwH1RB.jpg
https://ithelp.ithome.com.tw/upload/images/20230603/20160646KrYY38XleH.jpg

1.想詢問我有漏掉什麼該注意的事項嗎?
不太懂A電腦物件直接加入GPO並給予讀取權限與套用安全性權限(成功套用) 與
A電腦物件加入群組B並將B給予讀取權限與套用安全性權限(失敗套用) 兩者之間套用的差異
2.想詢問Authenticated Users或Domain Computer加入了必要性?測試過如果去掉上述兩個群組並手動加入欲套用之電腦物件仍可成功套用生效

2023/06/04補充
NB01的電腦物件為Client Computer OU下物件
https://ithelp.ithome.com.tw/upload/images/20230604/20160646dkIV1PACo7.jpg
A.這是成功套用的設定,僅另外新增NB01的電腦物件,還有Domain Client group
https://ithelp.ithome.com.tw/upload/images/20230604/20160646eRSLtBEQpK.jpg
B.這是失敗套用,僅有Domain Client group,內含NB01的電腦物件
https://ithelp.ithome.com.tw/upload/images/20230604/20160646cWPIBjq977.jpg]

2023/06/06
感謝各位耐心回覆,我已經找到為何"群組"無法成功套用原因,當我變更完Active Directory後尚未重新取得目標電腦的Ticket-Granting Ticket,以至於無法正確套用GPO
1.原因:先入為主認為gpupdate /force會重新取得TGT,實際上是不會。可從電腦物件的安全性群組成員資格觀察到並未取得資格
2.解法:可使用klist -li 0x3e7 purge清除tickets或直接重開機,方可解決此問題

看更多先前的討論...收起先前的討論...
setsuna iT邦新手 2 級 ‧ 2023-06-04 02:57:52 檢舉
為什麼是“委派”分頁?
n14792 iT邦新手 5 級 ‧ 2023-06-04 10:10:00 檢舉
你好,我有補充內文了,不知有無釐清疑問
PIZZ iT邦新手 2 級 ‧ 2023-06-05 10:51:10 檢舉
記得GPO那個群組管理原則是針對OU的吧???也就是套用下去OU內的設備都會有效

而不是針對"使用者的群組"吧(?)
setsuna iT邦新手 2 級 ‧ 2023-06-05 14:12:04 檢舉
我重新看了一下,你的問題跟我很久之前遇到的狀況一樣,安全性篩選無法套用到電腦群組,但我當時測試了很久也google過一段時間但還是沒有解決,後來我就放棄了,改用OU跟WMI Filter解決當時的問題。
希望有其他網友能解決你的問題。
n14792 iT邦新手 5 級 ‧ 2023-06-06 13:44:26 檢舉
你好,我已經找到我自己的失誤了,請參考看看當初是否也是因為這樣才設定失敗
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

0
carla54
iT邦見習生 ‧ 2023-06-04 02:50:31

If a specific policy parameter is not applied on a client, check your GPO scope. If you configure the setting in the Computer Configuration section, your Group Policy must be linked to an OU with computer objects. The same is true if you set your parameters in the User configuration section.

n14792 iT邦新手 5 級 ‧ 2023-06-04 10:18:32 檢舉

Hi carla54,
I apologize for the insufficient description earlier.
I have now added additional details. You can observe that the "Client Computer" OU includes the NB01 computer object.
Thank you

1
zero
iT邦好手 1 級 ‧ 2023-06-05 14:46:04

一樣的問題,以前回答過的東西可以重複利用

https://ithelp.ithome.com.tw/questions/10198226

Authenticated Users 簡單來說同時代表 USER 物件與 COMPUTER 物件

Domain Computer 預設應該是沒有的吧, Authenticated Users 可以解決通常就不用加了

Authenticated Users 通常是給讀取與套用權限的,你有需求的話拔掉套用就好了

我要發表回答

立即登入回答