漫游配置文件和GPO与安全组交互

Question

我已经按照这个文档设置了漫游配置文件(客户端坚持)：https://docs.microsoft.com/en-us/windows-server/storage/folder-redirection/deploy-roaming-user-profiles，它可以工作，但是有些东西我没有得到。

步骤2-创建一个安全组。似乎应该为我在这个组中的任何用户创建漫游配置文件，不管他们访问的是哪台机器，但对我来说不是这样的。在我的环境中，只有当用户和计算机被添加到安全组时，才会应用漫游配置文件。

我的设置是不是出了什么问题，或者这是预期的行为？如果可以的话，为什么，我错过了什么？在我看来，该策略应该适用于该组中的任何对象，无论是用户还是计算机。

提前谢谢。

Answer 1

您必须授予计算机“读取”权限，Microsoft说，在步骤4中：

由于MS16-072A中所做的安全性更改，您现在必须将经过身份验证的用户组委托给GPO，否则GPO将不会应用于用户。

步骤4 .9：

选择“委托”选项卡，选择“添加”，键入“身份验证用户”，选择“确定”，然后再次选择“确定”以接受默认的读取权限。

因此，将"Apply组策略“和"Read”权限授予包含<>用户的组，并将"Read“授予包含计算机的组(例如，可以是”域计算机“)。或者“经过身份验证的用户”，但要反复检查您只授予“读取”权限，而不是“应用组策略”，否则您的用户组筛选将毫无用处)。

这是因为从技术上讲，计算机帐户用于从域控制器下载组策略，甚至对于GPO的“用户”部分也是如此(这就是为什么计算机必须能够读取GPO，即使是用户设置)。

如果你想了解更多关于https://docs.microsoft.com/fr-fr/archive/blogs/askds/deploying-group-policy-security-update-ms16-072-kb3163622的细节，你可以阅读这篇博文。