Comportamento de grupos restritos na Política de Grupo após a mudança para uma nova UO (dentro do mesmo domínio)

tag-icon tag-icon active-directory group-policy security-groups
Comportamento de grupos restritos na Política de Grupo após a mudança para uma nova UO (dentro do mesmo domínio)

Sinto-me bastante à vontade com a Política de Grupo, mas esta é meio estranha. Eu sei que as configurações de segurança são aplicadas a cada 16 horas. Eu tinha uma política que adicionava um grupo AD aos administradores locais (grupos restritos). Isso substituiria todas as outras configurações.

Agora estamos migrando para uma nova estrutura de domínio e limpando nossas políticas. Mudei o computador para a nova UO e as políticas que o acompanham. No novo ambiente, não há política que defina os grupos restritos.

Para minha surpresa, quando o computador foi movido, algum tempo depois da mudança, de repente os administradores não tinham mais direitos de administrador. Obviamente, não os removemos manualmente no próprio computador, então isso é de alguma forma o resultado da movimentação do objeto de computador para o novo ambiente.

Eu diria que uma configuração que foi definida permanece definida. Dito isto, ao mover o objeto do computador e, assim, "remover a política", basicamente "alterei a configuração". No máximo 16 horas depois, as configurações são reaplicadas e a configuração "vazia" é aplicada. Por outro lado isso não faz sentido. Porque o GPT não contém nenhuma configuração que seja "enviada" ao computador para processamento.

Estou confuso sobre por que o grupo foi removido do computador. Alguém pode explicar isso?

Responder1

Este é o comportamento esperado, quando o computador recebe a política de "Grupos Restritos", ele armazena o estado anterior em um cache local.

Quando o GPO não estiver mais no escopo do computador, o Windows reverterá a associação ao grupo local para o valor anterior.

Responder2

As configurações de segurança no GPO são persistentes. Eles "tatuam" o sistema, mesmo quando o GPO é removido.

Para reverter, você deve aplicar a política de segurança padrão do sistema:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

Veja aquihttps://support.microsoft.com/en-us/help/313222/how-do-i-restore-security-settings-to-a-known-working-state

Responder3

O grupo de Segurança Global usado só é válido no domínio original.

Responder4

Então eu descobri sozinho. O motivo não é a tatuagem, mas algo chamado "Chaves de política". Ao criar um GPO, na GUI você verá "Configuração do computador", ao abri-lo você verá "Políticas" e "Preferências".

Agora, os Grupos Restritos estão localizados: "Configuração do computador ->Políticas-> Configurações do Windows -> Configurações de segurança -> Grupos restritos". A palavra-chave aqui é "Políticas".

A diferença entre “Políticas” e “Preferências” é a forma como elas impactam o sistema. Com uma "política normal", as alterações são colocadas em uma "chave de política" (que é protegida pelo sistema) dentro do registro, que é invocada pelo "mecanismo de política de grupo".

Agora, quando o GPO fica fora do escopo (neste caso porque movi o objeto do computador), as configurações são revertidas.

É por isso que isso aconteceu.

Tudo isso é explicado na terceira edição de Jeremy Moskowitz "Fundamentos da política de grupo, segurança e desktop gerenciado", capítulo 5, especificamente na página 279.

Eu precisava da opinião de @Swisstone para me orientar no caminho, do livro para obter o entendimento completo. Obrigado novamente por isso!

informação relacionada