忽略通过 AGPM 更改组策略对象权限
本文提供了一种解决方法,其中对高级组策略管理(AGPM)中控制的组策略对象权限的更改未按预期保存。
适用于: Windows Server(所有支持的版本)、Windows 客户端(所有支持的版本)
原始 KB 数: 3174540
现象
若要更改 AGPM 中控制的组策略对象的权限,请先在 AGPM 中签出策略,然后在策略对象的“安全”选项卡上编辑权限。 例如,向经过身份验证的用户添加只读权限。 但是,签入策略以保存更改,然后在策略上查看 “安全 ”选项卡后,可以看到所做的更改未按预期保存。
原因
此行为在 AGPM 4.0 Service Pack 3(SP3)和早期版本中设计。 若要向新创建的组策略对象添加权限,建议在 AGPM 中使用 “生产委派 ”选项卡。
解决方法
若要解决此问题,请执行以下步骤:
在 AGPM 服务器上设置以下注册表项和值。
- 路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Agpm - 值名称:OverrideRemovePermissionsWithoutReadAndApply
- 值类型:字符串REG_SZ
- 值数据:1
- 路径:
重启 AGPM 服务器。
如果 OverrideRemovePermissionsWithoutReadandApply 设置为 1,则在将策略签入 AGPM 后保存读取权限,但删除写入权限。
如果未设置 OverrideRemovePermissionsWithoutReadAndApply 或设置为除 1 以外的任何值,则 AGPM 的行为方式与“症状”部分中所述的方式相同。