Поведение ограниченных групп в групповой политике после перемещения в новое организационное подразделение (в пределах того же домена)

Поведение ограниченных групп в групповой политике после перемещения в новое организационное подразделение (в пределах того же домена)

Я довольно хорошо разбираюсь в групповой политике, но это немного странно. Я знаю, что настройки безопасности применяются каждые 16 часов. У меня была политика, которая добавляла группу AD в локальные администраторы (ограниченные группы). Она заменяла все остальные настройки.

Теперь мы переходим в новую доменную структуру и очищаем наши политики. Я переместил компьютер в новую OU и его сопутствующие политики. В новой среде нет политики, которая устанавливает ограниченные группы.

К моему удивлению, когда компьютер был перемещен, через некоторое время после перемещения, внезапно admins больше не имели прав администратора. Мы, очевидно, не удалили их вручную на самом компьютере, так что это каким-то образом результат перемещения computerobject в новую среду.

Я бы предположил, что установленная настройка остается установленной. Сказав это, перемещая объект компьютера и таким образом "удаляя политику", я по сути "меняю настройку". Максимум через 16 часов настройки применяются повторно, и применяется "пустая" настройка. С другой стороны, это не имеет никакого смысла. Потому что GPT не содержит никаких настроек, которые "отправляются" на компьютер для обработки.

Так что я в замешательстве, почему группа была удалена с компьютера. Кто-нибудь может это объяснить?

решение1

Это ожидаемое поведение: когда компьютер получает политику «Ограниченные группы», он сохраняет предыдущее состояние в локальном кэше.

Когда объект групповой политики больше не находится в области действия компьютера, Windows возвращает членство в локальной группе к предыдущему значению.

решение2

Настройки безопасности в GPO являются постоянными. Они «татуируют» систему, даже если GPO удален.

Для возврата к предыдущему состоянию необходимо применить политику безопасности системы по умолчанию:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

Глянь сюдаhttps://support.microsoft.com/en-us/help/313222/how-do-i-restore-security-settings-to-a-known-working-state

решение3

Использованная глобальная группа безопасности действительна только в исходном домене.

решение4

Так что я сам разобрался. Причина не в татуировках, а в чем-то под названием "Policy keys". Когда вы создаете GPO, в GUI вы увидите "Computer configuration", когда вы его откроете, вы увидите "Policies" и "Preferences".

Теперь Ограниченные Группы находятся: «Конфигурация компьютера ->Политики-> Параметры Windows -> Параметры безопасности -> Ограниченные группы». Ключевое слово здесь — «Политики».

Разница между "Политиками" и "Предпочтениями" заключается в том, как они влияют на систему. При "нормальной политике" изменения помещаются в "ключ политики" (который охраняется системой) в реестре, который затем вызывается "движком групповой политики".

Теперь, когда объект групповой политики выходит из области действия (в данном случае из-за перемещения объекта-компьютера), настройки отменяются.

Вот почему это произошло.

Все это объясняется в третьем издании книги Джереми Московица «Основы групповой политики, безопасность и управляемый рабочий стол», глава 5, конкретно на странице 279.

Мне нужен был @Swisstone, его вклад, чтобы направить меня на путь, книгу, чтобы получить полное понимание. Спасибо еще раз за это!

Связанный контент