Вопрос: Откуда возникает локальная политика безопасности контроллера домена?


В групповой политике мы имеем Deny logon through Remote Desktop для Domain Computers группы. Я продвинул компьютер, который был членом этой группы, чтобы быть контроллером домена. После продвижения по службе и компьютер, конечно, больше не был членом Domain Computers группы, но:

  1. Deny logon through Remote Desktop настройка все еще действовала
  2. Этот параметр не был указан в результатах групповой политики

В конце концов я узнал, что вы можете редактировать настройки в Local Security Policy MMC, но теперь я беспокоюсь, потому что:

  1. Вы не можете легко определить, было ли значение изменено со значения по умолчанию, поскольку параметры в локальной политике безопасности не имеют Define these policy settings коробка
  2. Удаленный аудит затруднен, потому что настройки не отображаются в результатах групповой политики

Кто-нибудь знает какие-либо обходные пути для такого поведения? Если ни один из них не доступен, есть ли простой способ проверить эти параметры?


5
2017-10-29 23:40


Источник


У вас здесь был странный сценарий. Вы уверены, что локальная политика безопасности никогда не была изменена на машине до ее продвижения? Я хотел бы попытаться издеваться над этим: какую группу вы назвали в настройке «Запрет входа в систему через удаленный рабочий стол» в вашем объекте групповой политики? - Evan Anderson
@EvanAnderson: машина на самом деле является совершенно новой установкой WS12 R2. Проблема в том, что, по словам Райана, групповая политика «татуировала» локальную политику безопасности. Групповая политика была применена к группе «Компьютеры домена», что означает, что она больше не применяется к DC после ее перемещения из «Доменных компьютеров» в группу «Контроллеры домена». - billc.cn


Ответы:


Контроллеры домена имеют свои собственные локальные политики безопасности, как и обычные члены домена. Групповая политика также будет иметь приоритет / отменять локальные политики безопасности, как и на обычных членов домена.

Как вы стали свидетелями, существует множество параметров групповой политики, которые имеют возможность «татуировки» или оставить свой след в локальной политике безопасности системы даже после того, как объект групповой политики больше не применяется к компьютеру. Групповые политики, которые не татуировка системы после того, как объект групповой политики больше не применяется, обычно изменяют настройки в специальном разделе «Политики» в реестре Windows. Большинство групповых политик хорошо себя ведут и следуют этой схеме, но не все из них.

Первое очевидное решение для управления настройками конфигурации в среде домена - если вы заботитесь об этом параметре, установите его в групповой политике, чтобы он переопределял любые локальные параметры политики.

Другим возможным решением могло бы стать создание и применение шаблонов безопасности с помощью инструмента «Конфигурация и анализ безопасности» (оснастка «mmc»). Я не вижу преимущества этого, просто определяя параметры базовой настройки с помощью групповой политики, но это инструмент для использования, если вы хотите применить согласованные шаблоны к местный политики безопасности многих машин.

Большинство администраторов только продвигают компьютеры с известной хорошей конфигурацией безопасности, которые являются контроллерами домена, поэтому ваша проблема не является очень распространенной проблемой.

Для аудита, запуска gpresult /h policy.html создаст отчет HTML, в котором перечислены все эффективные параметры политики, включая слияние как групповых политик, так и локальных политик. Поэтому, если на компьютере установлена ​​измененная локальная политика, и никакая групповая политика не отменяет его, он появится там:

gpresult

Из TechNet:

Все настройки, применяемые с помощью локальной политики или объекта групповой политики,   хранится в локальной базе данных на вашем компьютере. Всякий раз, когда безопасность   настройка изменена, компьютер сохраняет значение настройки безопасности для   локальная база данных, которая сохраняет историю всех настроек, которые   были применены к компьютеру. Если политика сначала определяет   и затем больше не определяет этот параметр, тогда   параметр принимает предыдущее значение в базе данных. Если предыдущий   значение не существует в базе данных, тогда настройка не возвращается   на что угодно и остается определенным как есть. Такое поведение иногда   называемой «татуировкой».


5
2017-10-30 00:48



Большое спасибо Райан за ваш ответ. Это очень полезно. - billc.cn
Я просто попробовал gpresult, что привело к тому же результату, что и функция «Результаты групповой политики» в «управлении групповыми политиками». Однако эта конкретная локальная политика не появилась. У меня возникло ощущение, что предыдущий параметр политики был скопирован как дефолт во время промо-процесса DC. - billc.cn