Comportamiento de los grupos restringidos en la política de grupo después de pasar a una nueva unidad organizativa (dentro del mismo dominio)

Comportamiento de los grupos restringidos en la política de grupo después de pasar a una nueva unidad organizativa (dentro del mismo dominio)

Me siento bastante cómodo con la Política de grupo, pero esta es un poco extraña. Sé que la configuración de seguridad se aplica cada 16 horas. Tenía una política que agregaba un grupo de AD a los administradores locales (grupos restringidos). Reemplazaría todas las demás configuraciones.

Ahora, estamos migrando a una nueva estructura de dominio y limpiando nuestras políticas. Moví la computadora a la nueva unidad organizativa y las políticas que la acompañan. En el nuevo entorno, no existe ninguna política que establezca los grupos restringidos.

Para mi sorpresa, cuando se movió la computadora, algún tiempo después del traslado, de repente los administradores ya no tenían derechos de administrador. Obviamente, no los eliminamos manualmente en la computadora, por lo que de alguna manera esto es el resultado de mover el objeto de la computadora al nuevo entorno.

Me imagino que una configuración que se ha establecido permanece establecida. Dicho esto, al mover el objeto de la computadora y así "eliminar la política", básicamente "cambio la configuración". Máximo 16 horas después, la configuración se vuelve a aplicar y se aplica la configuración "vacía". Por otro lado, eso no tiene ningún sentido. Porque el GPT no contiene ninguna configuración que se "envíe" a la computadora para su procesamiento.

Entonces no entiendo por qué el grupo fue eliminado de la computadora. ¿Alguien puede explicar esto?

Respuesta1

Este es el comportamiento esperado: cuando la computadora recibe la política de "Grupos restringidos", almacena el estado anterior en un caché local.

Cuando el GPO ya no está dentro del alcance de la computadora, Windows revierte la membresía del grupo local al valor anterior.

Respuesta2

La configuración de seguridad en GPO es persistente. Ellos "tatuan" el sistema, incluso cuando se elimina el GPO.

Para revertir, debe aplicar la política de seguridad predeterminada del sistema:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

Mira aquíhttps://support.microsoft.com/en-us/help/313222/how-do-i-restore-security-settings-to-a-known-working-state

Respuesta3

El grupo de seguridad global que se utilizó solo es válido en el dominio original.

Respuesta4

Entonces lo descubrí yo mismo. El motivo no es un tatuaje sino algo llamado "Claves de política". Cuando crea un GPO, en la GUI verá "Configuración de la computadora", cuando lo abra verá "Políticas" y "Preferencias".

Ahora, se encuentran los Grupos restringidos: "Configuración de la computadora ->Políticas-> Configuración de Windows -> Configuración de seguridad -> Grupos restringidos". La palabra clave aquí es "Políticas".

La diferencia entre "Políticas" y "Preferencias" es la forma en que afectan al sistema. Con una "política normal", los cambios se colocan en una "clave de política" (que está custodiada por el sistema) dentro del registro que luego es invocada por el "motor de políticas de grupo".

Ahora, cuando el GPO queda fuera de alcance (en este caso porque moví el objeto de la computadora), la configuración se revierte.

Por eso sucedió esto.

Todo esto se explica en la tercera edición de Jeremy Moskowitz "Fundamentos de políticas de grupo, seguridad y escritorio administrado", capítulo 5, específicamente en la página 279.

Necesitaba el aporte de @Swisstone para seguir mi camino y el libro para comprenderlo completamente. ¡Gracias de nuevo por eso!

información relacionada