.png)
グループ ポリシーについてはかなり慣れていますが、これはちょっと変わっています。セキュリティ設定が 16 時間ごとに適用されることは知っています。AD グループをローカル管理者 (制限されたグループ) に追加するポリシーがありました。他のすべての設定が置き換えられます。
現在、新しいドメイン構造に移行し、ポリシーを整理しています。コンピューターを新しい OU とそれに付随するポリシーに移動しました。新しい環境では、制限されたグループを設定するポリシーはありません。
驚いたことに、コンピューターを移動した後、しばらくすると、突然管理者が管理者権限を失いました。コンピューター自体で手動で管理者権限を削除しなかったことは明らかで、これは何らかの形でコンピューター オブジェクトを新しい環境に移動した結果です。
一度設定された設定はそのまま残ると思います。そうは言っても、コンピューター オブジェクトを移動して「ポリシーを削除」することで、基本的に「設定を変更」します。最大 16 時間後に設定が再適用され、「空の」設定が適用されます。一方、これは意味がありません。GPT には、処理のためにコンピューターに「送信」される設定が含まれていないからです。
それで、なぜグループがコンピューターから削除されたのかわかりません。誰か説明できますか?
答え1
これは予想される動作であり、コンピューターが「制限されたグループ」ポリシーを受信すると、以前の状態がローカル キャッシュに保存されます。
GPO がコンピューターのスコープ内になくなると、Windows はローカル グループ メンバーシップを以前の値に戻します。
答え2
GPO のセキュリティ設定は永続的です。GPO が削除された場合でも、それらはシステムに「タトゥー」として残ります。
元に戻すには、システムのデフォルトのセキュリティ ポリシーを適用する必要があります。
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
答え3
使用されたグローバル セキュリティ グループは、元のドメインでのみ有効です。
答え4
それで、自分で原因を突き止めました。原因はタトゥーではなく、「ポリシー キー」と呼ばれるものです。GPO を作成すると、GUI に「コンピューターの構成」が表示され、それを開くと「ポリシー」と「設定」が表示されます。
現在、制限されたグループは「コンピュータの構成 ->ポリシー-> Windows の設定 -> セキュリティの設定 -> 制限されたグループ"。ここでのキーワードは「ポリシー」です。
「ポリシー」と「設定」の違いは、システムに与える影響の仕方です。「通常のポリシー」では、変更はレジストリ内の「ポリシー キー」(システムによって保護されています) に格納され、その後「グループ ポリシー エンジン」によって呼び出されます。
これで、GPO が範囲外になると (この場合はコンピューター オブジェクトを移動したため)、設定が元に戻ります。
これが起こった理由です。
このすべては、Jeremy Moskowitz 著『グループ ポリシーの基礎、セキュリティ、および管理されたデスクトップ』の第 3 版、第 5 章、具体的には 279 ページで説明されています。
私にとって、自分の道を切り開くには @Swisstone のアドバイスが必要でした。そして、完全に理解するには本が必要でした。改めて感謝します!