Intro
На каждом компьютере с Windows, который работает в сети с Active Directory, имеется встроенная учетная запись администратора, защищенная паролем. Одно из стандартных требований безопасности — регулярно менять этот пароль. Казалось бы, задача несложная. Но только не когда в сети насчитывается под сотню машин.
Чтобы облегчить себе жизнь, ленивые системные администраторы иногда используют групповые политики для установки пароля локального администратора на большом количестве рабочих станций. Это довольно удобно, да и заменить такой пароль, когда придет срок, можно за пару минут. Одна незадача: на всех компьютерах пароль локального админа будет одинаковый.
Из этого следует вывод: получение учетных данных администратора на одной из машин сделает злоумышленника админом сразу на всех.
Что можно сделать с помощью Group Policy в общем случае
The Group Policy is a mechanism that allows to apply a set of rules/actions to the Active Directory network users and computers. Some of the possibilities are:
Disable NTLM
Require password complexity
Execute an scheduled or immediate task
Create local users in computers
Set a default wallpaper
Synchronize files with OneDrive
Etc
Для создания какого-то правила, мы должны создать Group Policy Object (GPO). Каждый GPO идентифицируется посредством GUID и состоит из двух сущностей: Group Policy template и Group Policy container.
Last updated