忽略透過 AGPM 變更組策略物件許可權
本文提供因應措施,解決在進階組策略管理中控制之組策略物件許可權變更未如預期儲存的問題。
適用於: Windows Server(所有支援的版本)、Windows 用戶端(所有支援的版本)
原始 KB 編號: 3174540
徵兆
若要變更 AGPM 中控制之組策略對象的許可權,請先在 AGPM 中取出原則,然後在原則物件的 [安全性] 索引標籤上編輯許可權。 例如,您會將 [只讀] 許可權新增至 [已驗證的使用者]。 不過,簽入原則以儲存變更之後,然後檢視 原則上的 [安全性 ] 索引標籤,您會看到您的變更未如預期般儲存。
原因
此行為是在 AGPM 4.0 Service Pack 3 (SP3) 和舊版中設計。 若要將許可權新增至新建立的組策略對象,建議您使用 AGPM 中的 [生產委派 ] 索引標籤。
因應措施
若要暫時解決此問題,請遵循下列步驟:
在 AGPM 伺服器上設定下列登錄機碼和值。
- 路徑:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Agpm - 數值名稱:OverrideRemovePermissionsWithoutReadAndApply
- 實值類型:字串REG_SZ
- 值資料:1
- 路徑:
重新啟動 AGPM 伺服器。
如果 OverrideRemovePermissionsWithoutReadandApply 設定為 1,則會在將原則簽入 AGPM 之後儲存讀取許可權,但會移除寫入許可權。
如果未設定 OverrideRemovePermissionsWithoutReadAndApply,或設定為 1 以外的任何值,AGPM 的行為會以徵兆一節中所述的方式運作。