我對組策略相當熟悉,但這有點奇怪。我知道安全設定每 16 小時應用一次。我有一項策略,將 AD 群組新增至本機管理員(受限群組)。它將取代所有其他設定。
現在,我們正在遷移到新的網域結構並清理我們的策略。我將電腦移至新的 OU 及其隨附的策略。在新環境中,沒有設定受限群組的策略。
令我驚訝的是,當電腦被移動時,移動一段時間後,管理員突然不再擁有管理員權限。顯然,我們沒有在電腦本身上手動刪除它們,因此這是將電腦物件移至新環境中的結果。
我認為已經設定的設定將保持不變。話雖如此,通過移動計算機對象並因此“刪除策略”,我基本上“更改了設置”。最多 16 小時後,將重新套用設定並套用「空」設定。另一方面,這沒有任何意義。因為 GPT 不包含任何「發送」到電腦進行處理的設定。
所以我很困惑為什麼該組被從計算機中刪除。誰能解釋一下嗎?
答案1
這是預期的行為,當電腦收到「受限群組」策略時,它將先前的狀態儲存在本機快取中。
當 GPO 不再位於電腦範圍內時,Windows 會將本機群組成員身分還原為先前的值。
答案2
GPO 中的安全設定是持久的。即使 GPO 被刪除,它們也會「紋身」系統。
要恢復,您必須套用系統的預設安全性原則:
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
答案3
使用的全域安全性群組僅在原始網域中有效。
答案4
所以我自己想出了辦法。原因不是紋身,而是一種叫做「政策鑰匙」的東西。建立 GPO 時,在 GUI 中您將看到“電腦配置”,打開它時您將看到“策略”和“首選項”。
現在,受限群組位於:「電腦設定 ->政策-> Windows 設定 -> 安全性設定 -> 受限群組」。其中的關鍵字是「策略」。
「策略」和「首選項」之間的差異在於它們影響系統的方式。使用“正常策略”,變更將放入登錄中的“策略金鑰”(由系統保護)中,然後由“群組原則引擎”呼叫。
現在,當 GPO 超出範圍時(在本例中是因為我移動了電腦物件),設定將會恢復。
這就是發生這種情況的原因。
Jeremy Moskowitz 的第三版「群組原則基礎知識、安全性和託管桌面」第 5 章,特別是第 279 頁對此進行了全部解釋。
我需要@Swisstone 他的意見來幫助我走上我的路,需要這本書才能得到充分的理解。再次感謝您!