各位好
我正在測試限制部分電腦套用WSUS的GPO,發現直接加入安全性篩選的客戶端可以成功套用
但加入群組(Domain Client)並套用進安全性篩選的方式加入卻無法執行,
客戶端會顯示<拒絕存取 (安全性篩選器)>
1.想詢問我有漏掉什麼該注意的事項嗎?
不太懂A電腦物件直接加入GPO並給予讀取權限與套用安全性權限(成功套用) 與
A電腦物件加入群組B並將B給予讀取權限與套用安全性權限(失敗套用) 兩者之間套用的差異
2.想詢問Authenticated Users或Domain Computer加入了必要性?測試過如果去掉上述兩個群組並手動加入欲套用之電腦物件仍可成功套用生效
2023/06/04補充
NB01的電腦物件為Client Computer OU下物件
A.這是成功套用的設定,僅另外新增NB01的電腦物件,還有Domain Client group
B.這是失敗套用,僅有Domain Client group,內含NB01的電腦物件
]
2023/06/06
感謝各位耐心回覆,我已經找到為何"群組"無法成功套用原因,當我變更完Active Directory後尚未重新取得目標電腦的Ticket-Granting Ticket,以至於無法正確套用GPO
1.原因:先入為主認為gpupdate /force會重新取得TGT,實際上是不會。可從電腦物件的安全性群組成員資格觀察到並未取得資格
2.解法:可使用klist -li 0x3e7 purge清除tickets或直接重開機,方可解決此問題
If a specific policy parameter is not applied on a client, check your GPO scope. If you configure the setting in the Computer Configuration section, your Group Policy must be linked to an OU with computer objects. The same is true if you set your parameters in the User configuration section.
一樣的問題,以前回答過的東西可以重複利用
https://ithelp.ithome.com.tw/questions/10198226
Authenticated Users 簡單來說同時代表 USER 物件與 COMPUTER 物件
Domain Computer 預設應該是沒有的吧, Authenticated Users 可以解決通常就不用加了
Authenticated Users 通常是給讀取與套用權限的,你有需求的話拔掉套用就好了