Mamy wymóg, aby narzędzie potrzebowało dostępu lokalnego administratora do wszystkich systemów w domenie (narzędzie do skanowania bezpieczeństwa).
Oto kroki podjęte do tej pory:
- Stworzył konto
- Dodano konto do grupy o nazwie „Administratorzy zabezpieczeń”
Mamy pytanie, jak dodać tę grupę do lokalnej grupy „Administratorzy” we wszystkich systemach.
Sysadmin próbował dodać to do domyślnej polityki, ale skończyło się to wymazaniem istniejących użytkowników z lokalnej grupy „Administratorzy”.
Jak możemy dodać konto do lokalnych „administratorów” bez nadpisać inne konta?
group-policy
appsecguy
źródło
źródło
Odpowiedzi:
Wymazał zawartość grupy Administratorzy lokalni, ponieważ gdy sysadmin zdefiniował Preferencje zasad grupy, wybrał
Replacejako działanie do wykonania. To niebezpieczne ustawienie w przypadku preferencji użytkowników i grup. Prawidłowe działanie powinno byćUpdate.Replacepowoduje, że klient najpierw usuwa zawartość grupy Administratorzy, a następnie dodaje tylko grupy określone w zasadach grupy.Updatezostawia grupę samą i po prostu dodaje określoną grupę do już istniejącej listy.UWAGA: Prawdopodobnie został ustawiony na zastąpienie, gdy zaznaczył pole „Usuń ten element, gdy nie jest już stosowany”. na karcie Wspólne. Zaznaczenie tego pola automatycznie zmienia akcję na
Replace. To pole wyboru naprawdę wymaga przeredagowania. Nie robi tego, co sugeruje sformułowanie.źródło
Jest to trywialne, jeśli z preferencjami zasad grupy. Jedną z preferencji polityki komputerowej jest możliwość kontrolowania członkostwa grup lokalnych. W Internecie można znaleźć wiele poradników na temat tego, jak korzystać z tej funkcji. Włączyłem kilka linków, aby wskazać właściwy kierunek. Pamiętaj, że prawie na pewno nie chcesz „Grupy z ograniczeniami”, chcesz zarządzać grupami w sekcji preferencji.
Refs:
źródło