我对组策略相当熟悉,但这个有点奇怪。我知道安全设置每 16 小时应用一次。我有一个策略,将 AD 组添加到本地管理员(受限组)。它将替换所有其他设置。
现在,我们正在迁移到新的域结构并清理我们的策略。我将计算机及其附带的策略移至新 OU。在新环境中,没有设置受限组的策略。
令我惊讶的是,当计算机被移动后,移动一段时间后,管理员突然不再拥有管理员权限。显然,我们没有在计算机上手动删除它们,所以这是将计算机对象移动到新环境中的结果。
我认为已设置的设置会保持原样。话虽如此,通过移动计算机对象并因此“删除策略”,我基本上“更改了设置”。最多 16 小时后,设置会重新应用,并且会应用“空”设置。另一方面,这没有任何意义。因为 GPT 不包含任何“发送”到计算机进行处理的设置。
所以我很困惑为什么该组被从计算机中删除了。有人能解释一下吗?
答案1
这是预期的行为,当计算机收到“受限组”策略时,它会将之前的状态存储在本地缓存中。
当 GPO 不再属于计算机范围时,Windows 会将本地组成员身份恢复为以前的值。
答案2
GPO 中的安全设置是持久性的。即使删除了 GPO,它们仍会“标记”系统。
要恢复,您必须应用系统的默认安全策略:
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
答案3
所使用的全局安全组仅在原始域中有效。
答案4
所以我自己想通了。原因不是纹身,而是一种叫做“策略密钥”的东西。当您创建 GPO 时,在 GUI 中您会看到“计算机配置”,当您打开它时,您会看到“策略”和“首选项”。
现在,受限组位于:“计算机配置 ->政策-> Windows 设置 -> 安全设置 -> 受限组”。这里面的关键词是“策略”。
“策略”和“首选项”之间的区别在于它们对系统的影响方式。使用“常规策略”,更改将被放入注册表中的“策略项”(受系统保护),然后由“组策略引擎”调用。
现在,当 GPO 超出范围时(在这种情况下是因为我移动了计算机对象),设置就会恢复。
这就是发生这件事的原因。
Jeremy Moskowitz 所著的《组策略基础、安全和托管桌面》第三版第 5 章第 279 页对此进行了解释。
我需要@Swisstone 的意见来帮助我,让我能够全面理解这本书。再次感谢!