早在2015年5月,我们就开始讨论微软组策略的安全更改,以防止“中间人攻击”,在这种情况下,您使用组成员资格的安全过滤测试的任何组策略将不再与默认的“身份验证用户”在委托选项卡上运行. 换句话说, 如果你有一个政策,在运行之前你要测试你是否是一名高中教师, 它再也行不通了.
解决方案是将委托选项卡上的域计算机添加到使用安全过滤的每个策略中,因为现在所有策略都由计算机而不是用户首先读取.
自2015年以来,我们帮助你们中的许多人清理了这些问题. 然而, 因为默认值仍然是Authenticated Users, 任何使用安全过滤设置的未来策略通常都会失败,因为人们忘记将域计算机添加回策略中.
网站后,我正在清理这个问题,因为我正在做其他事情徘徊.
我们有一个非常简单的脚本,我们可以针对所有组策略运行,以解决每个策略上的这个问题. 然后我们有一个非常简单的编辑,我们可以这样做,任何时候你有一个新的组策略, 它将默认为已正确添加的域计算机,以便您再也不会弄乱此安全规则.
如果你没有要求我们为你做这件事, 它不需要花费太多时间,并且随着时间的推移可以省去很多麻烦.
如果你想让我们为你做这件事,请告诉我们.
最近的评论