如何服务器能否继续出现在安全过滤器在我的组策略管理器中?
我已经手动删除了 servername$,并且已经设置了否定在选项卡 >Apply group policy下勾选,但它总是变回DelegationAdvanced允许,或者如果我删除了它,则重新添加它。
100%确定没有其他人手动添加这个。
答案1
就我个人而言,我会审核此策略对象。在同一个高级安全编辑器中,单击“高级”,然后单击“审核”,并为“写入所有属性和修改权限”添加一个“每个人都成功”的条目。
确保 DC 已设置为审核 DS 访问事件。您可以使用 auditpol.exe 或组策略来设置/执行细粒度的审核配置。我不会详细介绍,因为我不知道您是通过旧式组策略还是新的“高级审核策略配置”组策略选项来强制执行特定审核策略。
GPO 的 GPMC 详细信息选项卡显示 GUID。然后,您可以在 DC 上查看复制元数据,以通过原始 dsa 列和时间列查看 ntsecuritydescriptor 何时更改以及在哪个 dc 上更改。
repadmin /showobjmeta . "CN={insertgpoguid},CN=policies,CN=systemm,dc=domain,dc=com"
根据情况替换 dc=domain,dc=com。
然后去查看当时该 dc 上的审计事件,假设安全日志尚未包装以查看是谁/什么做的。