Назад | Перейти на главную страницу

Откуда берется локальная политика безопасности контроллера домена?

В групповой политике у нас есть Deny logon through Remote Desktop настройка включена для Domain Computers группа. Я назначил компьютер, входивший в эту группу, контроллером домена. После промоушена компьютер, конечно, перестал быть членом Domain Computers группа, но:

  1. В Deny logon through Remote Desktop настройка все еще действовала
  2. Параметр не был указан в результатах групповой политики

В конце концов я узнал, что вы можете изменить настройку в Local Security Policy MMC, но теперь я волнуюсь, потому что:

  1. Вы не можете легко определить, было ли значение изменено с значения по умолчанию, потому что параметры в локальной политике безопасности не имеют Define these policy settings коробка
  2. Удаленный аудит затруднен, потому что настройки не отображаются в результатах групповой политики.

Кто-нибудь знает какие-либо обходные пути для этого поведения? Если таковых нет, есть ли простой способ проверить эти настройки?

Контроллеры домена имеют свои собственные локальные политики безопасности, как и обычные члены домена. Групповые политики также будут иметь приоритет / переопределить локальные политики безопасности, как и для обычных членов домена.

Как вы видели, существует множество параметров групповой политики, которые могут «татуироваться» или оставлять свой след в локальной политике безопасности системы даже после того, как объект групповой политики больше не применяется к компьютеру. Групповые политики, которые делают не татуируйте систему после того, как GPO больше не применяется, как правило, измените настройки в специальном подразделе «Политики» в реестре Windows. Большинство групповых политик работают правильно и следуют этому шаблону, но не все из них.

Первое очевидное решение для управления параметрами конфигурации в среде домена - если вам важен параметр, установите его в групповой политике, чтобы он переопределил любые параметры локальной политики.

Другим возможным решением может быть создание и применение шаблонов безопасности с помощью инструмента настройки и анализа безопасности (оснастка mmc). Я не вижу в этом преимущества перед простым определением параметров базовой конфигурации с помощью групповой политики, но это инструмент использовать, если вы хотите применить согласованные шаблоны к местный политики безопасности многих машин.

Большинство администраторов продвигают только компьютеры с известной хорошей конфигурацией безопасности в качестве контроллеров домена, поэтому ваша проблема не является очень распространенной.

Для аудита запущен gpresult /h policy.html создаст отчет в формате HTML, в котором перечислены все действующие параметры политики, включая объединение групповых политик и локальных политик. Итак, если на компьютере есть измененный параметр локальной политики, и никакая групповая политика не отменяет его, он появится там:

Из TechNet:

Все параметры, применяемые с помощью локальной политики или объекта групповой политики, хранятся в локальной базе данных на вашем компьютере. Каждый раз, когда параметр безопасности изменяется, компьютер сохраняет значение параметра безопасности в локальной базе данных, в которой хранится история всех параметров, примененных к компьютеру. Если политика сначала определяет параметр безопасности, а затем больше не определяет этот параметр, тогда параметр принимает предыдущее значение в базе данных. Если предыдущее значение не существует в базе данных, тогда настройка ни к чему не возвращается и остается определенной как есть. Такое поведение иногда называют «татуировкой».