나는 그룹 정책에 대해 상당히 익숙하지만 이것은 일종의 이상한 것입니다. 보안 설정이 16시간마다 적용된다는 것을 알고 있습니다. 로컬 관리자(제한된 그룹)에 AD 그룹을 추가하는 정책이 있었습니다. 다른 모든 설정을 대체합니다.
이제 우리는 새로운 도메인 구조로 마이그레이션하고 정책을 정리하고 있습니다. 컴퓨터를 새 OU로 옮겼으며 이에 따른 정책이 적용됩니다. 새 환경에는 제한된 그룹을 설정하는 정책이 없습니다.
놀랍게도 컴퓨터를 이동한 후 얼마 후 갑자기 관리자에게 더 이상 관리자 권한이 없게 되었습니다. 우리는 분명히 컴퓨터 자체에서 수동으로 제거하지 않았으므로 이는 컴퓨터 개체를 새 환경으로 이동한 결과입니다.
나는 설정된 설정이 설정된 상태로 유지된다고 생각합니다. 즉, 컴퓨터 개체를 이동하여 "정책을 제거"함으로써 기본적으로 "설정을 변경"합니다. 최대 16시간 후에 설정이 다시 적용되고 "비어 있음" 설정이 적용됩니다. 반면에 그것은 말이되지 않습니다. 왜냐하면 GPT에는 처리를 위해 컴퓨터로 "전송"되는 설정이 포함되어 있지 않기 때문입니다.
그래서 그룹이 컴퓨터에서 제거된 이유가 무엇인지 혼란스럽습니다. 누구든지 이것을 설명할 수 있나요?
답변1
이는 예상되는 동작입니다. 컴퓨터가 "제한된 그룹" 정책을 수신하면 이전 상태를 로컬 캐시에 저장합니다.
GPO가 더 이상 컴퓨터 범위에 없으면 Windows는 로컬 그룹 구성원 자격을 이전 값으로 되돌립니다.
답변2
GPO의 보안 설정은 영구적입니다. GPO가 제거된 경우에도 시스템에 "문신"을 합니다.
되돌리려면 시스템의 기본 보안 정책을 적용해야 합니다.
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
답변3
사용된 글로벌 보안 그룹은 원래 도메인에서만 유효합니다.
답변4
그래서 제가 직접 알아냈습니다. 그 이유는 문신이 아니라 "정책 키"라는 것 때문입니다. GPO를 생성하면 GUI에 "컴퓨터 구성"이 표시되고, 이를 열면 "정책" 및 "기본 설정"이 표시됩니다.
이제 제한된 그룹 위치는 "컴퓨터 구성 ->정책-> Windows 설정 -> 보안 설정 -> 제한된 그룹". 여기서 키워드는 "정책"입니다.
"정책"과 "기본 설정"의 차이점은 시스템에 영향을 미치는 방식입니다. "일반 정책"을 사용하면 변경 사항이 "그룹 정책 엔진"에 의해 호출되는 레지스트리 내의 "정책 키"(시스템에 의해 보호됨)에 저장됩니다.
이제 GPO가 범위를 벗어나면(이 경우에는 컴퓨터 개체를 이동했기 때문에) 설정이 되돌려집니다.
이것이 이런 일이 일어난 이유입니다.
이에 대한 모든 내용은 Jeremy Moskowitz "그룹 정책 기본 사항, 보안 및 관리되는 데스크톱" 제3판, 5장, 특히 279페이지에 설명되어 있습니다.
나는 내 길을 안내하기 위해 @Swisstone의 의견과 완전한 이해를 얻기 위한 책이 필요했습니다. 다시 한번 감사드립니다!