.png)
Ich kenne mich mit Gruppenrichtlinien ziemlich gut aus, aber das hier ist irgendwie seltsam. Ich weiß, dass Sicherheitseinstellungen alle 16 Stunden angewendet werden. Ich hatte eine Richtlinie, die den lokalen Administratoren (eingeschränkte Gruppen) eine AD-Gruppe hinzufügte. Sie würde alle anderen Einstellungen ersetzen.
Jetzt migrieren wir in eine neue Domänenstruktur und bereinigen unsere Richtlinien. Ich habe den Computer in die neue Organisationseinheit und die dazugehörigen Richtlinien verschoben. In der neuen Umgebung gibt es keine Richtlinie, die die eingeschränkten Gruppen festlegt.
Zu meiner Überraschung hatten Administratoren nach dem Umzug des Computers einige Zeit später plötzlich keine Administratorrechte mehr. Wir haben sie offensichtlich nicht manuell auf dem Computer selbst entfernt, also ist dies irgendwie das Ergebnis des Verschiebens des Computerobjekts in die neue Umgebung.
Ich würde annehmen, dass eine einmal gesetzte Einstellung auch gesetzt bleibt. Allerdings ändere ich die Einstellung grundsätzlich, indem ich das Computerobjekt verschiebe und damit die Richtlinie „entferne“. Maximal 16 Stunden später werden die Einstellungen erneut angewendet und die „leere“ Einstellung wird angewendet. Andererseits macht das keinen Sinn. Denn die GPT enthält keine Einstellung, die zur Verarbeitung an den Computer „gesendet“ wird.
Ich bin verwirrt, warum die Gruppe vom Computer entfernt wurde. Kann das jemand erklären?
Antwort1
Dies ist das erwartete Verhalten. Wenn der Computer die Richtlinie „Eingeschränkte Gruppen“ empfängt, speichert er den vorherigen Status in einem lokalen Cache.
Wenn sich das Gruppenrichtlinienobjekt nicht mehr im Gültigkeitsbereich des Computers befindet, setzt Windows die lokale Gruppenmitgliedschaft auf den vorherigen Wert zurück.
Antwort2
Sicherheitseinstellungen in GPO sind dauerhaft. Sie „tätowieren“ das System, selbst wenn GPO entfernt wird.
Um den Status rückgängig zu machen, müssen Sie die Standardsicherheitsrichtlinie des Systems anwenden:
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
Antwort3
Die verwendete globale Sicherheitsgruppe ist nur in der ursprünglichen Domäne gültig.
Antwort4
Also habe ich es selbst herausgefunden. Der Grund ist nicht das Tätowieren, sondern etwas, das „Richtlinienschlüssel“ genannt wird. Wenn Sie ein GPO erstellen, sehen Sie in der GUI „Computerkonfiguration“, wenn Sie es öffnen, sehen Sie „Richtlinien“ und „Einstellungen“.
Jetzt finden Sie die eingeschränkten Gruppen unter: "Computerkonfiguration ->Richtlinien-> Windows-Einstellungen -> Sicherheitseinstellungen -> Eingeschränkte Gruppen“. Das Schlüsselwort darin ist „Richtlinien“.
Der Unterschied zwischen „Richtlinien“ und „Einstellungen“ besteht in der Art und Weise, wie sie sich auf das System auswirken. Bei einer „normalen Richtlinie“ werden die Änderungen in einen „Richtlinienschlüssel“ (der vom System geschützt wird) in der Registrierung eingetragen, der dann von der „Gruppenrichtlinien-Engine“ aufgerufen wird.
Wenn das Gruppenrichtlinienobjekt nun außerhalb seines Gültigkeitsbereichs gerät (in diesem Fall, weil ich das Computerobjekt verschoben habe), werden die Einstellungen zurückgesetzt.
Aus diesem Grund ist das passiert.
Dies alles wird in der dritten Ausgabe von Jeremy Moskowitz „Group policy Fundamentals, Security and the Managed Desktop“, Kapitel 5, genauer gesagt auf Seite 279, erklärt.
Ich brauchte @Swisstones Input, um weiterzukommen, und das Buch, um alles zu verstehen. Nochmals vielen Dank dafür!