2 votos

GPO habilitado para entradas de registro que no aparecen en el servidor

Prefacio: yo soy un Linux admin. Yo realmente no se "consigue" (o similares) de Windows.

Estoy en el proceso de aplicación de medidas correctoras en Windows 2016 servidores con el CIS recomendaciones. Es sobre todo la creación de un GPO establece de acuerdo a la CEI especificaciones, y su aplicación para el servidor(s) en cuestión. Estoy usando Sostenible del Nessus Auditoría Scanner para verificar la validez de la configuración.

Aquí es donde usted puede conseguir el CIS spec estoy usando: https://www.cisecurity.org/benchmark/microsoft_windows_server/

(No hay una descarga directa para él, pero es gratis para descargar.)

Muchos de los detalles no importan, así que para esta pregunta me voy a centrar en un ejemplo concreto de que yo debería ser capaz de extrapolar para resolver los otros problemas. En términos generales, el problema parece ser que estoy tratando de aplicar las ediciones de Registro a través de GPO y supongo que no entiendo cómo hacerlo. Sin embargo, el CIS pauta es muy específico en cuanto a los pasos para solucionar.

Así, por ejemplo, estoy tratando de aplicar CIS guía 19.1.3.1, "Asegurar "Activar el protector de pantalla' está establecido en "Activado""

Los pasos para hacer esto se muestra como:

Para establecer la configuración recomendada a través de GP, se establecen las siguientes Interfaz de usuario de ruta de acceso Habilitado: Configuración de Usuario\Policies\Administrativa Plantillas\Panel de Control\Personalización\Activar protector de pantalla

Ok, así que lo hice. Sé el GPO sí se aplica, porque todos los otros de la configuración de GPO ahora se muestran en el servidor. También, el Nessus Auditoría de Exploración se muestra "OK" para la mayoría de los artículos que acaba de aplicar.

Los únicos elementos que no parecen funcionar son los elementos que son la configuración del Registro.

Cuando me examine el Registro, veo que la clave estoy tratando de establecer a un valor no está aún allí. Para este ejemplo, la clave es:

HKEY_USERS[SID de USUARIO]\SOFTWARE\Policies\Microsoft\Windows\Control Panel\Desktop:ScreenSaveActive

Así que, ¿cómo puedo obtener una configuración de Registro para mostrar a través de GPO?

Específicamente, ¿cómo puedo hacer "Configuración de Usuario" elementos de Registro?

2voto

Evan Anderson Puntos 118832

Suena como que usted está aplicando la Configuración de Usuario en un Objeto de Directiva de Grupo (GPO) que se enlaza en un lugar donde sólo se aplica a las cuentas de Equipo.

Configuración de usuario sólo se aplica si el está vinculado en o por encima de la Unidad Organizativa (OU) o Contenedor en el que el Usuario se de cuenta de lo que estamos probando con la que se encuentra. Si, por ejemplo, la cuenta de Equipo se encuentra en un "Servidores" OU en la que se ha vinculado a su "CIS Recomendaciones" GPO, pero la cuenta de usuario que estás iniciando sesión con está ubicado en, digamos, el valor predeterminado contenedor "Usuarios", los valores de Configuración de Usuario en el "CIS Recomendaciones" GPO no se aplican.

Me gustaría recomendar la lectura-en aplicación de Directiva de Grupo en general. La comprensión de cómo se aplican las configuraciones basadas en la ubicación de los vínculos de GPO y las unidades Organizativas donde Equipo y la cuenta de Usuario se encuentran los objetos va a ser útil para usted. Hay una variedad de diferentes recursos que puede consultar. Algunas ideas incluyen:

La configuración específica que usted está buscando, si desea colocar la Configuración de Usuario en vincular un GPO en un lugar que normalmente sólo se aplican a las cuentas de Equipo es el Bucle de Procesamiento de la Directiva. Esta funcionalidad permite al Usuario los valores de Configuración de Gpo que se aplican a la Computadora para ser fusionado con, o el derecho de sustituir los valores de Configuración de Usuario que normalmente se aplica a una determinada cuenta de Usuario de inicio de sesión en ese Equipo.

Escribí un poco sobre el Bucle de Procesamiento de Directiva en este sitio hace un tiempo, y dar una razonable ejemplo, en la respuesta, también.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: