总结:见标题。
背景:回顾“过去”,我们做了很多坏事:我们使用同一台服务器来运行 Active Directory 和其他服务(还有人记得 Windows Small Business Server 吗?),并且没有遵循有关组策略的最佳实践。
幸运的是,那些日子已经过去了,但我们仍然使用与当时相同的 Active Directory 域。我们最近注意到“默认域控制器策略”包含明显不再正确的条目(最引人注目的例子是,普通用户和过时的服务帐户可以在本地登录到我们的域控制器)。我想“清理”该策略并确保我们遵循最新的安全建议。
我知道可以使用 重置此策略dcgpofix.exe,但我担心这样做会破坏某些东西。相反,我想
- 比较每一个当前设置“默认域控制器策略”默认设置,
- 确保我理解此设置的作用,并且
- 如果我确定不再需要修改,则将其重置为默认设置。
然而,要做到这一点,我需要看到默认“默认域控制器策略”,对此进行 Google 搜索失败(可能是因为在此上下文中“默认”具有双重含义)。因此我的问题是:
新创建的 Active Directory 域中的“默认域控制器策略”的默认设置是什么?
答案1
答案2
既然你想手动仔细检查每个条目,你可以
查看组策略管理编辑器中的“解释”选项卡以查看默认设置对于域控制器和
检查微软的文档推荐设置。
作为一个具体的例子,这是“解释”选项卡中关于“从网络访问此计算机”策略条目的内容:
这就是微软的文档建议:
最佳实践
- [...]
- 在域控制器上,仅向经过身份验证的用户、企业域控制器和管理员授予此权限。
- [...]
- 此设置包括每个人组以确保向后兼容性。在 Windows 升级时,在验证所有用户和组均已正确迁移后,应删除每个人分组并使用已认证用户组。
正如您所看到的,默认设置包含不再需要/推荐的条目。