RSOP не показывает локальную политику безопасности.

Вопрос или проблема

Ответ или решение

Основная проблема, с которой вы столкнулись, заключается в том, что инструменты RSOP (Resultant Set of Policy) и gpresult не отображают изменения, внесенные в локальную политику безопасности после того, как сервер 2008 R2 был снят с домена и запущен как не доменное устройство. Это связано с тем, что RSOP изначально не был разработан для обработки или отображения локальных политик безопасности. Давайте разберемся, почему это происходит, и какие шаги можно предпринять для решения этой ситуации.

Теория

RSOP и gpresult – это утилиты, которые предназначены для анализа и диагностики групповых политик в доменных средах Windows. Они работают, собирая данные из базы данных Common Information Model Object Manager (CIMOM) на локальных компьютерах, где хранится информация о политике, вытянутой с контроллеров домена. Таким образом, они подойдут для анализа итоговой политики, учитывая настройки, полученные от доменных контроллеров.Однако локальная политика безопасности (Local Security Policy), настраиваемая через secpol.msc, хранится непосредственно в системных файлах и реестре машины, а не в базе CIMOM. Это означает, что RSOP и gpresult не имеют доступа к этим локальным изменениям и не могут отразить их в своих отчетах.

Пример

Предположим, что сервер ранее был частью домена и был настроен для соблюдения определенных безопасностных политик через групповую политику домена (GPO). После того как сервер был снят с домена, Linked GPO больше не применяется, и единственными политиками, которые остаются активными, являются локальные политики. При использовании gpresult или RSOP результаты будут показывать только настройки политик, которые прежде доставлялись от домена (если они закэшированы) или не покажут вообще ничего, так как машина больше не синхронизируется с доменом.

Применение

Чтобы обойти ограничения RSOP и gpresult в отображении локальных политик безопасности на сервере, который теперь функционирует как не доменный, вы можете использовать следующие методы:

1. Security Configuration and Analysis (SCA): Этот инструмент позволяет анализировать текущее состояние безопасности системы и сравнивать его с заранее определенным шаблоном безопасности. Вы можете использовать SCA для того чтобы проверить, были ли применены изменения локальной политики безопасности правильно. Это осуществляется через консоль Microsoft Management Console (MMC), где в качестве шаблона может быть загружен файл .inf, содержащий ваши настройки политики.

2. Редактирование и просмотр через secpol.msc и gpedit.msc: Истинно примененные локальные политики можно просматривать и изменять через интерфейс соответствующих инструментов управления – secpol.msc и gpedit.msc. Эти инструменты напрямую изменяют системные параметры и позволяют детально управлять локальной политикой безопасности.

3. Проверка реестра и системных файлов: Для продвинутых пользователей рекомендуется проверять настройки напрямую в реестре Windows или специфичных системных файлах, таких как secedit.sdb. Этот подход требует хороших знаний о структуре реестра и местоположении параметров безопасности, но он позволяет точно проверить, какие политики активны.

4. Использование PowerShell: Для автоматизированного вывода информации о локальной политике можно воспользоваться PowerShell. Скрипты могут помочь извлекать детали параметров безопасности прямо из системы.

Перейдя на уровень выше и используя более локализованный способ анализа политик, вы сможете гарантировать, что все необходимые изменения в политике безопасности действительно применены и правильно функционируют на вашем сервере.