#yyds干货盘点# web安全day11：进一步学习windows域的gpo

Posted 2021-11-23 小梁L同学

我们此前已经讲过，GPO的应用规则是层级化的，即从上到下，层层叠加，如有冲突，以下级为准，那么有什么办法改变这种规则呢？

1、继承

以桌面背景为例，假设董事会的gpo定义的桌面背景和整个公司的gpo定义的桌面背景不一致，那么董事会ou中的计算机必然会以董事会gpo的规则为准，但是如果我们需要某一天全公司的桌面背景临时都统一，而不去修改董事会gpo的内容，那么有什么方法呢？

我们可以通过右键新东方gpo--选择强制，它的意思是强制使下级gpo继承本gpo内容。

 

如果需要恢复，只需要对强制进行取消即可。

2、脚本让策略更丰富

我们也可以在dc中编写脚本来执行更加丰富和个性化的策略。如编写clear.bat,用于对某个目录下垃圾文件的清除。

c:

cd\\

cd tmp

rd . /s /q

这个脚本的意思是进入c盘的根目录，然后进入tmp文件夹 然后删除该文件夹下的所有文件。

我们进入windows7的c盘创建tmp文件夹，并向其中添加一些文件以便测试。

我们回到dc中，为新东方这个ou的gpo配置脚本内容。

点击浏览，出现文件选择路径，建议将我们的脚本文件放置在这个文件夹内。

最终我们的注销属性是这样的。

我们查看一下这个gpo的配置

可以看到之前设置的脚本已经显示出来。我们接下来回到windows7上进行验证，测试能否将c盘tmp文件夹下的文件都删除。

结果发现确实已经删除了这些文件，通过这种方式，可以强制删除员工电脑中的留存文件，实现类似于影子系统的功能。

3、灵活运用gpo解决实际问题

我们可以发现，当我们的计算机加入域后，每一次登录都需要按ctrl+del+alt。这种登录方式一定程度上影响了用户体验，我们同样可以使用gpo进行配置，取消这种登陆时的非必要操作。

我们依然编辑新东方这条gpo，点击计算机配置--策略--windows设置--安全设置--本地策略--安全选项--交互式登录：无须按ctrl+alt+del。启用这条策略。

由于我们是对计算机进行的配置，所以这条策略是对应于所有登录这台计算机的用户，生效方式也需要重启几次计算机。

需要说明的是，由于该软件本身的原因，对于策略的修改的响应并不是非常灵敏，比如针对用户进行的策略，原则上注销再次登录就可以感知到，而对于计算机进行的策略，原则上重启计算机就可以感知到，但是实际操作种，往往不会一次就成功，这并不是我们的操作或者理解有误，而是软件本身的原因，我们只有重启多次或者注销多次才能解决。后续微软可能也会对这一功能的用户体验进行改进，我们拭目以待。

4、gpo在实际安防中的实用

gpo还有一些很实用的功能，在安防项目中往往会用到。

比如口令策略

账户锁定策略

审核策略

用户权限分配

等等