域控制器的本地安全策略来自哪里?
在组策略中,我们Deny logon through Remote Desktop为“ Domain Computers组启用“ Deny logon through Remote Desktop的Deny logon through Remote Desktop设置。 我推荐了一个属于这个组的成员的计算机作为一个域控制器。 升级之后,电脑当然不再是Domain Computers组的成员,而是:
-
Deny logon through Remote Desktop设置的Deny logon through Remote Desktop仍然有效 - 该设置未在组策略结果中列出
我最终发现你可以编辑Local Security Policy MMC中的设置,但现在我很担心,因为:
- 由于本地安全策略中的设置没有
Define these policy settings框,您无法轻易确定该值是否已从默认值更改 - 远程审计很困难,因为这些设置不会显示在组策略结果中
有没有人知道这种行为的任何解决方法? 如果没有可用的,是否有一个简单的方法来审计这些设置?
- 为Windows 2012 CA生成新的自签名CA.
- 寻找一种方式来监视/通知当IISclosures
- 无法通过公共IP访问EC2实例上的站点
- 如何使用Windows MMCpipe理另一个AD域的计算机?
- Windows:DEP始终与DEP退出有什么区别,没有例外?
域控制器有自己的本地安全策略,就像常规域成员一样。 组策略也将优先于/重写本地安全策略,就像在常规域成员上一样。
正如您目睹的那样,即使在GPO不再适用于计算机之后,仍然有许多组策略设置能够“纹身”,或者在系统的本地安全策略上留下标记。 在GPO不再适用之后,不对组织系统纹身的组策略通常会修改Windowsregistry中特殊“策略”子项下的设置。 大多数集团政策performance良好,遵循这一模式,但不是全部。
在域环境中pipe理configuration设置的第一个显而易见的解决scheme是,如果您关心某个设置,请将其设置为“组策略”,以便覆盖任何本地策略设置。
另一种可能的解决scheme是使用安全configuration和分析工具(mmcpipe理单元)创build和应用安全模板。我没有看到通过组策略简单定义基准configuration设置的优势,但这是工具如果要将一致的模板应用于许多机器的本地安全策略,请使用此选项。
大多数pipe理员只会将具有已知良好安全configuration的计算机升级为域控制器,因此您的问题不是很常见的问题。
对于审计,运行gpresult /h policy.html将生成一个HTML报告,列出所有有效的策略设置,包括合并组策略和本地策略。 所以如果一台计算机有一个修改过的本地策略设置, 并且没有组策略覆盖它,它就会出现在那里:
来自TechNet :
通过本地策略或组策略对象应用的所有设置都存储在您的计算机上的本地数据库中。 每当安全设置被修改时,计算机将安全设置值保存到本地数据库,该数据库保留已经应用于计算机的所有设置的历史logging。 如果一个策略首先定义一个安全设置,然后不再定义该设置,那么该设置将采用数据库中以前的值。 如果数据库中不存在以前的值,则该设置不会恢复为任何内容,并保持原样。 这种行为有时被称为“纹身”。