Intro

На каждом компьютере с Windows, который работает в сети с Active Directory, имеется встроенная учетная запись администратора, защищенная паролем. Одно из стандартных требований безопасности — регулярно менять этот пароль. Казалось бы, задача несложная. Но только не когда в сети насчитывается под сотню машин.

Чтобы облегчить себе жизнь, ленивые системные администраторы иногда используют групповые политики для установки пароля локального администратора на большом количестве рабочих станций. Это довольно удобно, да и заменить такой пароль, когда придет срок, можно за пару минут. Одна незадача: на всех компьютерах пароль локального админа будет одинаковый.

Из этого следует вывод: получение учетных данных администратора на одной из машин сделает злоумышленника админом сразу на всех.

Что можно сделать с помощью Group Policy в общем случае

The Group Policy is a mechanism that allows to apply a set of rules/actions to the Active Directory network users and computers. Some of the possibilities are:

• Disable NTLM

• Require password complexity

• Execute an scheduled or immediate task

• Create local users in computers

• Set a default wallpaper

• Synchronize files with OneDrive

• Etc

Для создания какого-то правила, мы должны создать Group Policy Object (GPO). Каждый GPO идентифицируется посредством GUID и состоит из двух сущностей: Group Policy template и Group Policy container.