GPO działa tylko na uwierzytelnionych użytkownikach

Próbuję zastosować zasady grupy, aby wybrać użytkowników. Wszyscy wybrani użytkownicy należą do grupy zabezpieczeń. Zasady grupy obejmują ustawienia użytkownika

Stosuję zasady do jednostki organizacyjnej, która obejmuje użytkownika, z którym testuję (próbowałem też na jednostce organizacyjnej, na której znajduje się komputer). Po nałożeniu uruchamiam gpresult / r i widzę, że nie jest zastosowany i mówi:

Filtrowanie: Nie zastosowano (nieznany powód).

Głębsze kopanie, jeśli uruchomię gpresult / scope user / h rsop.html, mówi, że jest „niedostępny”

O dziwo, jeśli usunę moją grupę zabezpieczeń z filtrowania zabezpieczeń i dodam Uwierzytelnionych użytkowników, działa to dobrze.

Odtworzyłem zasady i grupę zabezpieczeń i nadal ten sam wynik.

Czy ktoś ma jakieś sugestie? Wiem, że coś mi umknęło. Czy istnieją dodatkowe uprawnienia, które należy zastosować do grupy zabezpieczeń w AD?

Dzięki!

Niedawno nastąpiła zmiana w obiektach GPO (problem bezpieczeństwa, który został rozwiązany w aktualizacji Windows KB3163622), i jestem pewien, że to, na co się natrafisz.

Po nowej zmianie zabezpieczeń, jeśli uwierzytelnionych użytkowników nie ma na karcie Delegowanie, obiekt zasad grupy nie będzie działać (kropka).

Usunięcie Uwierzytelnionych użytkowników z filtru bezpieczeństwa za pomocą GUI powoduje również usunięcie go z karty Delegowanie. To kiedyś nie stanowiło problemu, teraz jest. :)

Dlatego po usunięciu uwierzytelnionych użytkowników z filtrowania zabezpieczeń dodaj ich (z powrotem) do karty Delegowanie (dostęp tylko do odczytu powinien wystarczyć), a następnie kontynuuj edycję filtru zabezpieczeń według własnego uznania.

Źródło obrazu, a więcej informacji można znaleźć tutaj:

Wdrażanie aktualizacji zabezpieczeń zasad grupy MS16-072 \ KB3163622 (opublikowano w czerwcu 2016 r.).