TL;DR : Veja o título.
Histórico : Antigamente, fazíamos muitas coisas ruins: usávamos o mesmo servidor para o Active Directory e outros serviços (alguém se lembra do Windows Small Business Server?), e não seguíamos as práticas recomendadas com relação às Diretivas de Grupo .
Felizmente, esses dias acabaram, mas ainda usamos o mesmo domínio do Active Directory de antigamente. Recentemente, notamos que a "Política padrão do controlador de domínio" contém entradas que obviamente não estão mais corretas (como o exemplo mais notável, usuários regulares e contas de serviço desatualizadas podem fazer logon localmente em nossos controladores de domínio). Gostaria de "limpar" a política e garantir que seguimos as recomendações de segurança atualizadas.
Sei que é possível redefinir essa política com dcgpofix.exe
, mas tenho medo de quebrar alguma coisa fazendo isso. Em vez disso, eu gostaria de
- compare cada configuração atual da "Política padrão do controlador de domínio" com a configuração padrão ,
- certifique-se de que entendi o que essa configuração faz e
- em seguida, redefina-o para a configuração padrão se tiver certeza de que a modificação não é mais necessária.
Para fazer isso, no entanto, preciso ver a "Política de controlador de domínio padrão " padrão, e uma pesquisa no Google sobre isso me falha (provavelmente devido ao duplo significado de "padrão" neste contexto). Daí minha pergunta:
Quais são as configurações padrão para a "Política de controlador de domínio padrão" em um domínio do Active Directory recém-criado?
Como você deseja verificar manualmente cada entrada de qualquer maneira, você pode
consulte a guia "Explicar" no Editor de gerenciamento de política de grupo para ver a configuração padrão para controladores de domínio e
verifique a documentação da Microsoft para a configuração recomendada .
Como um exemplo concreto, isto é o que a guia "Explicar" diz sobre a entrada da política "Acessar este computador pela rede":
E é isso que a documentação da Microsoft recomenda:
Como você pode ver, a configuração padrão contém entradas que não são mais necessárias/recomendadas.
As informações que você procura estão abaixo:
FONTE: http://www.sysadminlab.net/windows/restore-default-domain-policy-and-default-domain-controller-gpo-settings-to-default