域控制器的本地安全策略从何而来？

Question

在组策略中，我们Deny logon through Remote Desktop为Domain Computers组启用了设置。我将作为该组成员的计算机提升为域控制器。升职后，电脑当然不再是Domain Computers群的成员，而是：

1. 该Deny logon through Remote Desktop设置仍然有效
2. 该设置未在组策略结果中列出

我最终发现您可以在Local Security PolicyMMC 中编辑设置，但现在我很担心，因为：

1. 您无法轻松确定该值是否已从默认值更改，因为本地安全策略中的设置没有该Define these policy settings框
2. 远程审核很困难，因为设置没有显示在组策略结果中

有谁知道这种行为的任何解决方法？如果没有可用的，是否有一种简单的方法来审核这些设置？

Answer 1

域控制器有自己的本地安全策略，就像普通域成员一样。组策略也将优先/覆盖本地安全策略，就像它们对常规域成员所做的一样。

正如您所看到的，即使在 GPO 不再适用于计算机之后，仍有许多组策略设置能够“纹身”或在系统的本地安全策略上留下自己的标记。在 GPO 不再适用后不刺青系统的组策略通常会修改 Windows 注册表中特殊“策略”子项下的设置。大多数组策略都表现良好并遵循此模式，但并非全部。

在域环境中管理配置设置的第一个明显解决方案是，如果您关心设置，请在组策略中设置它，以便它覆盖任何本地策略设置。

另一种可能的解决方案是使用安全配置和分析工具（mmc 管理单元）创建和应用安全模板。我看不出这样做比通过组策略简单定义基线配置设置有什么优势，但这就是工具如果要将一致的模板应用于多台机器的本地安全策略，请使用。

大多数管理员只将具有已知良好安全配置的计算机提升为域控制器，因此您的问题不是很常见。

对于审计，运行gpresult /h policy.html将生成一个 HTML 报告，其中列出所有有效的策略设置，包括组策略和本地策略的合并。因此，如果计算机具有修改的本地策略设置，并且没有组策略覆盖它，它将显示在那里：

来自TechNet：

通过本地策略或组策略对象应用的所有设置都存储在您计算机上的本地数据库中。每当修改安全设置时，计算机都会将安全设置值保存到本地数据库，该数据库保留已应用于计算机的所有设置的历史记录。如果策略首先定义安全设置，然后不再定义该设置，则该设置将采用数据库中先前的值。如果数据库中不存在先前的值，则该设置不会恢复为任何内容并保持原样。这种行为有时被称为“纹身”。