Когда непривилегированному пользователю (или учетной записи машины) домена AD DS предоставляется право выполнить GPO. Какой пользователь на самом деле выполняет его для него?
Можно ли выбрать пользователя, который будет выполнять GPO, применять права и т. д.?
решение1
Когда непривилегированному пользователю (или учетной записи машины) домена AD DS предоставляется право выполнить GPO. Какой пользователь на самом деле выполняет его за него?
Вещи в GPO компьютерного уровня выполняютсяSYSTEMпользователь. Действия в объектах групповой политики на уровне пользователя выполняются независимо от того, какой пользователь входит в систему.
Можно ли выбрать пользователя, который будет выполнять GPO, применять права и т. д.?
Да, либо связав объект групповой политики с подразделением, содержащим конкретных пользователей, к которым вы хотите применить объект групповой политики, либо используя фильтрацию безопасности групповых политик.
Фильтрация безопасности — это способ уточнения того, какие пользователи и компьютеры будут получать и применять параметры в объекте групповой политики (GPO). Используя фильтрацию безопасности, вы можете указать, что только определенные субъекты безопасности в контейнере, к которому привязан GPO, применяют GPO.
Вы не можете применить объекты групповой политики к одному пользователю, но при этом выполнить их от имени другого пользователя.