為未顯示在伺服器上的系統資料庫項啟用 GPO
前言:我是一名 Linux 管理員。我並沒有真正“獲得”(或喜歡)Windows。
我正在使用 CIS 建議修復 Windows 2016 伺服器。它主要是根據 CIS 規範創建一個 GPO 集,並將其應用於相關伺服器。我正在使用 Tenable 的 Nessus Audit Scanner 檢查設置的有效性。
在這裡您可以獲得我正在使用的 CIS 規範:https ://www.cisecurity.org/benchmark/microsoft_windows_server/
(沒有直接下載,但可以免費下載。)
許多確切的細節並不重要,所以對於這個問題,我將專注於一個具體的例子,我應該能夠推斷出解決其他問題。從廣義上講,問題似乎是我試圖通過 GPO 應用系統資料庫編輯,我想我不明白該怎麼做。但是,CIS 指南對補救步驟非常具體。
因此,例如,我正在嘗試應用 CIS 指南 19.1.3.1,“確保‘啟用螢幕保護程序’設置為‘已啟用’ ”
執行此操作的步驟如下所示:
要通過 GP 建立推薦的配置,請將以下 UI 路徑設置為 Enabled:User Configuration\Policies\Administrative Templates\Control Panel\Personalization\Enable screen saver
好的,所以,我做到了。我知道 GPO 本身已應用,因為所有其他 GPO 設置現在都顯示在伺服器上。此外,Nessus Audit Scan 現在對我剛剛應用的大多數項目顯示“OK”。
唯一似乎不起作用的項目是系統資料庫設置項目。
當我檢查系統資料庫時,我發現我試圖設置為某個值的鍵甚至不存在。對於此範例,該鍵是:
HKEY_USERS
$$ USER SID $$\SOFTWARE\Policies\Microsoft\Windows\Control Panel\Desktop:ScreenSaveActive 那麼,如何讓系統資料庫設置通過 GPO 顯示?
具體來說,如何使“使用者配置”系統資料庫項顯示出來?
聽起來您正在應用組策略對象 (GPO) 中的使用者配置設置,該組策略對象 (GPO) 連結在僅適用於電腦帳戶的位置。
僅當 GPO 連結到您正在測試的使用者帳戶所在的組織單位 (OU) 或容器之上或之上時,才會應用使用者配置。例如,如果電腦帳戶位於您已連結“CIS 建議”GPO 的“伺服器”OU 中,但您登錄時使用的使用者帳戶位於預設的“使用者”中容器,“CIS 建議”GPO 中的那些使用者配置設置將不適用。
我建議一般閱讀有關組策略應用程序的內容。了解如何根據 GPO 連結的位置以及電腦和使用者帳戶對象所在的 OU 應用設置將對您有所幫助。您可以查閱各種不同的資源。一些想法包括:
如果您確實希望將使用者配置設置放置在連結到通常僅適用於電腦帳戶的位置的 GPO 中,則您正在尋找的特定設置是Loopback Policy Processing。此功能允許 GPO 中適用於電腦的使用者配置設置與通常應用於登錄到該電腦的給定使用者帳戶的使用者配置設置合併或完全替換。
不久前,我在這個站點上寫了一些關於環回策略處理的文章,並在該答案中給出了一個合理的例子。