我需要删除一些将安全设置应用到我们服务器的旧组策略。
(计算机配置\Windows 设置\安全设置\本地策略\用户权限分配)。
我一直以为它们是刻在系统上的,就像审计政策或者安全选项,但我注意到事实并非如此。我的测试服务器确实恢复到了以前的设置或默认设置。
经过调查,我发现了一份相关的文献。
安全设置策略的持久性
即使某个设置在最初应用它的策略中不再定义,安全设置仍可以保留。
在下列情况下,安全设置可能会持续存在:
- 该设备之前没有定义过此设置。
- 该设置用于注册表安全对象。
- 这些设置适用于文件系统安全对象。
通过本地策略或组策略对象应用的所有设置都存储在计算机的本地数据库中。每当修改安全设置时,计算机都会将安全设置值保存到本地数据库,该数据库保留了已应用于计算机的所有设置的历史记录。如果策略首先定义安全设置,然后不再定义该设置,则该设置将采用数据库中的先前值。如果数据库中不存在先前值,则该设置不会恢复为任何值,并保持原样定义。这种行为有时称为“纹身”。
注册表和文件安全设置将保留通过组策略应用的值,直到该设置被设置为其他值。
现在,在清理这些 GPO 之前,我需要知道
- 哪些系统已被过时的策略设置所标记,以便我可以手动恢复设置,
- 当我删除 GPO 时,安全设置将恢复为什么值。
我怎样才能做到这一点?