Active-Directory

移動到新 OU 後組策略中受限組的行為(在同一域內)

  • August 20, 2020

我對組策略相當熟悉,但這有點奇怪。我知道安全設置每 16 小時應用一次。我有一個將 AD 組添加到本地管理員(受限組)的策略。它將取代所有其他設置。

現在,我們正在遷移到一個新的域結構並清理我們的策略。我將電腦移到了新的 OU 和隨附的策略中。在新環境中,沒有設置受限組的策略。

令我驚訝的是,當電腦被移動時,移動一段時間後,所有管理員突然不再擁有管理員權限。我們顯然沒有在電腦本身上手動刪除它們,所以這是將電腦對象移動到新環境中的結果。

我會認為已經設置的設置保持設置。話雖如此,通過移動電腦對象並因此“刪除策略”,我基本上是“更改設置”。最多 16 小時後重新應用設置並應用“空”設置。另一方面,這沒有任何意義。因為 GPT 不包含任何“發送”到電腦進行處理的設置。

所以我很困惑為什麼該組被從電腦中刪除。誰能解釋一下?

這是預期的行為,當電腦收到“受限組”策略時,它將先前的狀態儲存在本地記憶體中。

當 GPO 不再位於電腦範圍內時,Windows 會將本地組成員身份恢復為以前的值。

GPO 中的安全設置是持久的。他們“紋身”系統,即使 GPO 被刪除。

要恢復,您必須應用系統的預設安全策略:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

請參閱此處https://support.microsoft.com/en-us/help/313222/how-do-i-restore-security-settings-to-a-known-working-state

引用自:https://serverfault.com/questions/1030861