弱龄寄事外,委怀在琴书。这篇文章主要讲述#yyds干货盘点# web安全day11:进一步学习windows域的gpo相关的知识,希望能为你提供帮助。
我们此前已经讲过,GPO的应用规则是层级化的,即从上到下,层层叠加,如有冲突,以下级为准,那么有什么办法改变这种规则呢?
1、继承
以桌面背景为例,假设董事会的gpo定义的桌面背景和整个公司的gpo定义的桌面背景不一致,那么董事会ou中的计算机必然会以董事会gpo的规则为准,但是如果我们需要某一天全公司的桌面背景临时都统一,而不去修改董事会gpo的内容,那么有什么方法呢?
我们可以通过右键新东方gpo--选择强制,它的意思是强制使下级gpo继承本gpo内容。
如果需要恢复,只需要对强制进行取消即可。
2、脚本让策略更丰富我们也可以在dc中编写脚本来执行更加丰富和个性化的策略。如编写clear.bat,用于对某个目录下垃圾文件的清除。
c:
cd\\
cd tmp
rd . /s /q
这个脚本的意思是进入c盘的根目录,然后进入tmp文件夹 然后删除该文件夹下的所有文件。
我们进入windows7的c盘创建tmp文件夹,并向其中添加一些文件以便测试。
我们回到dc中,为新东方这个ou的gpo配置脚本内容。
点击浏览,出现文件选择路径,建议将我们的脚本文件放置在这个文件夹内。
最终我们的注销属性是这样的。
我们查看一下这个gpo的配置
可以看到之前设置的脚本已经显示出来。我们接下来回到windows7上进行验证,测试能否将c盘tmp文件夹下的文件都删除。
结果发现确实已经删除了这些文件,通过这种方式,可以强制删除员工电脑中的留存文件,实现类似于影子系统的功能。
3、灵活运用gpo解决实际问题我们可以发现,当我们的计算机加入域后,每一次登录都需要按ctrl+del+alt。这种登录方式一定程度上影响了用户体验,我们同样可以使用gpo进行配置,取消这种登陆时的非必要操作。
我们依然编辑新东方这条gpo,点击计算机配置--策略--windows设置--安全设置--本地策略--安全选项--交互式登录:无须按ctrl+alt+del。启用这条策略。
由于我们是对计算机进行的配置,所以这条策略是对应于所有登录这台计算机的用户,生效方式也需要重启几次计算机。
需要说明的是,由于该软件本身的原因,对于策略的修改的响应并不是非常灵敏,比如针对用户进行的策略,原则上注销再次登录就可以感知到,而对于计算机进行的策略,原则上重启计算机就可以感知到,但是实际操作种,往往不会一次就成功,这并不是我们的操作或者理解有误,而是软件本身的原因,我们只有重启多次或者注销多次才能解决。后续微软可能也会对这一功能的用户体验进行改进,我们拭目以待。
4、gpo在实际安防中的实用gpo还有一些很实用的功能,在安防项目中往往会用到。
比如口令策略
账户锁定策略
审核策略
用户权限分配
【#yyds干货盘点# web安全day11(进一步学习windows域的gpo)】等等
推荐阅读
- SpringCloud升级之路2020.0.x版-40. spock 单元测试封装的 WebClient(下)
- 搞定大厂算法面试之leetcode精讲4.贪心
- 如何解决 ASP.NET Core 中的依赖问题
- 填坑总结(python内存泄漏排查小技巧)
- #yyds干货盘点#dart系列之:在dart中使用生成器
- 微服务治理之如何优雅应对突发流量洪峰
- zabbix监控系统性能优化(三十一)
- zabbix利用grafana自定义监控图形展现
- k8s强制删除pod以及namespace