我们在域控制器上有一个带有 Windows Server 2016 的 Active Directory 域,在所有客户端上都有最新的 Windows 10。不久前,我开始通过组策略在域上部署 Internet 安全中心 (CIS) 1 级安全基准:默认域策略中的 Windows 10 安全基准,覆盖基于 Windows Server 2012 R2 文档(没有2016 年还没有)在默认控制器策略中。我之前一直被Windows粗心的硬化所困扰,所以这次我一直在逐一检查所有设置,并打开相关文档并检查任何不熟悉选项的影响。它工作得很好——直到今天,我终于把事情搞砸了。症状如下
- 左键单击组策略管理中的任何 GPO 会显示“拒绝访问”错误框。我仍然可以检查和操作对象属性,包括更改 GPO 状态;
- 打开其中一个用于编辑的 GPO 再次显示“访问被拒绝”,尽管在不同的框中,并且当编辑器启动时,可见的树条目用红色 X 标记;
- 回到组策略管理,如果我转到 GPO 的详细信息选项卡,我只能看到它的 AD 版本。sysvol 中的那个被描述为不可用;
- 最后,当我在任何域计算机(包括 DC 本身)上运行gpupdate /force时,我收到如下错误:
组策略处理失败。Windows 尝试从域控制器读取文件 \contoso.com\sysvol\contoso.com\Policies{foo}\gpt.ini,但未成功。在解决此事件之前,可能不会应用组策略设置。此问题可能是暂时性的,可能由以下一项或多项原因引起:a) 与当前域控制器的名称解析/网络连接。b) 文件复制服务延迟(在另一个域控制器上创建的文件尚未复制到当前域控制器)。c) 分布式文件系统 (DFS) 客户端已被禁用。
不幸的是,我刚刚意识到我忘记检查事件日志中的相应错误代码,但是如果我将资源管理器指向 \contoso.com\sysvol\ (或者就此而言,该服务器上的任何共享,同时使用主机和路径中的域名)我被要求提供凭据,但还没有找到有效的凭据,我的赌注是再次“拒绝访问”。顺便说一句,通过 DC 上的本地路径访问 sysvol 可以正常工作。
简而言之,至少后两个症状强烈表明我已经设法将自己锁定在 SYSVOL 共享之外;不知道前两者是不是也是这个原因造成的。附带说明一下,在将域控制器重新启动到 DSRM,然后回到正常模式后,一切都工作了大约 10 分钟。
现在,我有最新的备份,所以我可以恢复到最后的工作状态并完成它。但是,我真正想要的是 a) 了解究竟是什么设置可能导致了这个问题(否则我可能很快会再次遇到同样的问题),并且 b) 弄清楚如何让我的域在所有强化下工作到位(CIS Level-1 基准是基线,它们不应该对功能产生太大影响......)。哦,c)如果我仍然可以用当前配置做任何事情。
任何有一般强化 Windows 或专门应用 CIS 基准的经验的人,谁能给我一个正确的方向?如果是这样,非常感谢您提前!
更新:似乎我能够禁用违规策略,但它没有撤消 SYSVOL 锁定。使用 secedit 将本地安全策略重置为默认值也无济于事,可能是因为该过程产生了所有“拒绝访问”警告。
顺便说一句,我注意到的一件有趣的事情是,如果我从 PowerShell 提示符以提升的权限开始在 DC 上运行“net share SYSVOL”,它确实会返回预期的信息(与从正常提示符运行不同 - 你已经猜到了! - “访问被拒绝”)。