我花了很多时间研究组策略现在可能是对它进行总结的好时机了，我想写一些关于组策略的文章。 我特别想强调为什么对客户端开放管理访问是非常糟糕的。 尽管我知道许多IT组织完全信任组策略，但每个人都需要对组策略和管理员访问权限的缺点了然，这一点非常重要。人们通常认为配置是由组策略设置，因此能够对整个网络环境进行一致的推广（设置和清理）。 但是，情况可能并非如此，特别是如果您允许在客户端/服务器上开放本地管理员权限。 

让我们假设攻击者以管理员身份破坏了一个设置(我们将更改HKLM中的内容，这需要本地管理员访问)，并希望删除该设置，以便日志信息更少。攻击者可以删除该密钥，也可以将其设置为0。攻击者这样做之后，客户端将不再在事件日志中显示进程命令行。 

现在一个典型的假设是：如果运行gpupdate，来等待下一个组策略刷新周期，或者引导机器获取设置。正如本文前面所解释的那样，这是行不通的。这是组策略的一个弱点，但是此行为可以且应该被更改来作为将展示的一个安全基准示例。更改此行为的设置被命名为Process，即使组策略对象没有更改，还是可以针对组策略的所有不同部分(脚本、安全性、注册表、无线、首选项等)进行调整。启用此功能后，组策略客户端将不再查看版本号，并始终启用设置。在示例中，我们希望为注册表策略操作启用此功能。

https://blogs.technet.microsoft.com/grouppolicy/2009/03/04/group-policy-troubleshooting-helpful-event-log-categories/

原文：https://www.trustedsec.com/2019/01/local-admin-access-and-group-policy-dont-mix/

翻译：wangrin

看雪翻译小组

组策略不会自动重新应用，尽管这是一个常见的误解，即机器在每次组策略刷新或重新启动后运行gpupdate /Force。默认情况下，这不是组策略的工作方式。机器每90分钟检查一次组策略，随机偏移最多30分钟。在检查期间，它将验证应用的组策略自上次启用以来是否发生了更改。如果中央组策略中没有任何更改，它将不执行任何操作，并假定启用的组策略是兼容的。这里有一个例外，那就是客户端处扩展an'quan'xin(security client side extensions)，即使没有任何更改，这些设置也会每16小时重新处理一次。让我们更详细地研究一下它是如何工作的。 首先，我们创建了一个名为“一些重要设置”的新组策略，并将其链接到包含我的计算机帐户的OU:

如果标记它，组策略管理器的正确部分将显示更多信息。如果点击Details选项卡，可以看到Group Policy的唯一ID:

Within that folder there are two sub-folders, 在该文件夹中有两个子文件夹，machine和user。还有一个名为gps.ini的文件。无论何时向组策略的机器部分或用户部分添加设置，设置都将添加到正确的文件夹下。这可以是策略、安全信息(Secedit)或首选项。如果打开GPT.ini文件，可以看到它是一个空文件：

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课