Предисловие: я администратор Linux. Я действительно не "понимаю" (и не люблю) Windows.
Я занимаюсь исправлением серверов Windows 2016 с рекомендациями CIS. В основном это просто создание набора GPO в соответствии со спецификациями CIS и его применение к рассматриваемому серверу (-ам). Я использую сканер Tenable Nessus Audit Scanner для проверки правильности настроек.
Вот где вы можете получить спецификацию CIS, которую я использую: https://www.cisecurity.org/benchmark/microsoft_windows_server/
(Для него нет прямой загрузки, но это бесплатно.)
Многие из точных деталей не имеют значения, поэтому в этом вопросе я сосредоточусь на одном конкретном примере, который я смогу экстраполировать для решения других проблем. В целом проблема, похоже, в том, что я пытаюсь применить правки реестра через GPO, и я думаю, что не понимаю, как это сделать. Тем не менее, руководство CIS очень конкретно описывает шаги по исправлению ситуации.
Так, например, я пытаюсь применить директиву CIS 19.1.3.1, "Убедитесь, что для параметра «Включить заставку» установлено значение «Включено»."
Шаги для этого перечислены как:
Чтобы установить рекомендуемую конфигурацию через GP, установите для следующего пути пользовательского интерфейса значение Enabled: User Configuration \ Policies \ Administrative Templates \ Control Panel \ Personalization \ Enable screen saver
Итак, я сделал это. Я знаю, что применяется сам объект групповой политики, потому что все остальные параметры объекта групповой политики теперь отображаются на сервере. Кроме того, Nessus Audit Scan теперь показывает «ОК» для большинства элементов, которые я только что применил.
Единственные элементы, которые кажутся неработающими, - это элементы, относящиеся к настройкам реестра.
Когда я просматриваю реестр, я вижу, что ключа, для которого я пытаюсь установить значение, даже нет. В этом примере этот ключ:
HKEY_USERS [ИДЕНТИФИКАТОР ПОЛЬЗОВАТЕЛЯ] \ SOFTWARE \ Policies \ Microsoft \ Windows \ Control Panel \ Desktop: ScreenSaveActive
Итак, как мне сделать так, чтобы настройки реестра отображались через GPO?
В частности, как мне сделать так, чтобы элементы реестра «Конфигурация пользователя» отображались?
Похоже, вы применяете параметры конфигурации пользователя в объекте групповой политики (GPO), который связан в месте, где он применяется только к учетным записям компьютеров.
Конфигурация пользователя будет применяться только в том случае, если объект групповой политики связан в организационной единице (OU) или контейнере, где находится учетная запись пользователя, с которой вы тестируете, или выше. Если, например, учетная запись компьютера находится в подразделении «Серверы», к которому вы связали свой объект групповой политики «Рекомендации СНГ», но учетная запись пользователя, с которой вы выполняете вход, находится, скажем, в группе «Пользователи» по умолчанию контейнера, те параметры конфигурации пользователя в GPO «Рекомендации CIS» не будут применяться.
Я бы рекомендовал прочитать о применении групповой политики в целом. Понимание того, как применяются параметры в зависимости от расположения ссылок GPO и подразделений, в которых расположены объекты учетной записи компьютера и пользователя, будет полезно для вас. Есть множество различных ресурсов, к которым вы можете обратиться. Некоторые идеи включают:
Основы групповой политики - Часть 1. Понимание структуры объекта групповой политики
Основы групповой политики - Часть 2: Понимание, какие объекты групповой политики применять
Основы групповой политики - Часть 3: Как клиенты обрабатывают объекты групповой политики
Конкретный параметр, который вы ищете, если вы действительно хотите поместить параметры конфигурации пользователя в объект групповой политики, связанный в месте, которое обычно применяется только к учетным записям компьютеров, - это Обработка политики петли. Эта функция позволяет либо объединить параметры конфигурации пользователя в объектах групповой политики, которые применяются к компьютеру, либо полностью заменить параметры конфигурации пользователя, которые обычно применяются к данной учетной записи пользователя, выполняющей вход на этот компьютер.
Я немного писал о Обработка политики петли на этом сайте некоторое время назад, и приведите разумный пример в этом ответе.