使用powershell Set-GPPermissions cmdlet設置GPO安全篩選器

Question

根據Microsoft的說法，cmdlet Set-GPPermissions接受選項“-replace”：

“這可確保現有權限級別被新的權限級別替換。”

我從PowerShell導入GPO。 之后我想設置安全過濾器。 導入之后，在設置安全篩選器之前，GPO的安全篩選是“經過身份驗證的用戶”。 現在我想刪除該過濾器選項並將其替換為“myGroup”。 為此，我使用以下命令：

Set-GPPermissions -Name "myGPO" -PermissionLevel GpoApply -TargetName "myGroup" -TargetType Group -replace

結果是添加了一個引用“myGroup”的新安全篩選器，但未刪除“Authenticated Users”組。 Powershell cmdlet不會替換過濾器，而是添加它。

提示？

提前致謝！

Answer 1

如您引用的頁面上所述，該命令將替換組“myGroup”的現有permissions 。 它不會替換具有“myGroup”組權限的“Authenticated Users”組的權限。 引自Technet ：

- 替換<SwitchParameter>

指定在設置新權限級別之前刪除組或用戶的現有權限級別。

您必須使用Set-GPPermissions向“myGroup”授予權限，並使用Set-GPPermissions -TargetName "Authenticated Users -PermissionLevel None以刪除“Authenticated Users”的權限。

Answer 2

我發現將Authenticated User權限級別設置為none就足夠了：

Set-GPPermissions -Name "MyGPO" -PermissionLevel None -TargetName "Authenticated Users" -TargetType Group 

這刪除了“Authenticated Users”安全過濾器。

Answer 3

我想你應該接受Ansgar或者用戶1458620的答案; 他們是對的。 以下是包含相同內容的最終解決方案：

$gpo | Set-GPPermissions -Replace -PermissionLevel None -TargetName 'Authenticated Users' -TargetType group 
$gpo | Set-GPPermissions -PermissionLevel gpoapply -TargetName 'MyGroup' -TargetType group