故事主角:小新
小新的 IT 同事小王最近转部门跑去做 RD 了,
但他们感情还是很好,偶尔还是会闲聊,
有一天小王跟小新说:「我发现我现在还能修改公司 GPO 的设定耶」
小新:「不是阿,你换部门的时候不是把你移出 IT 群组了吗」
小王:「对阿,我也没办法存取其他原本 IT 部门的资料了,但 GPO 还能改耶」
小新:
首先当然是检查小王是不是不在 IT 管理员群组了
那我们可以清楚看到小王的帐号不在群组了,这时候我们就要去检查 GPO 的权限
在这边提供两张画面截图,让各位想想到底是哪里出错了
解答:
问题出现在最後一张图,Domain Users 被设定了可以修改 GPO 权限,
这种错误常发生在不熟悉 GPO 的人员操作,
或许你会认为这种错误怎麽可能出现在企业里面,
但现实是由於公司早期的网路管理可能没那麽严格,
或是 IT 是半路出家,没有受过相关训练,只发现设定能动的情况下就做了类似设定。
而将第二张图 Security Filtering 的设定也是多余的,
已验证使用者 Authenticated Users 等於是全网域的验证使用者,
根本没必要重复允许 Domain Users,
当骇客能够获取修改 GPO 的权限的时候是十分危险的,
骇客透过 GPO 能够将恶意程序植入或是修改电脑权限。
<<: D2- 用 Swift 和公开资讯,打造投资理财的 Apps { 加上版控 git 和第三方套件管 理工具CocoaPods }
The New Google phone to be released by T-Mobile be...
前言 昨日我们学习了原型与建构子函式,但这样其实有点不够直觉,尤其是对於有接触过其它物件导向程序的朋...
注:发文日和截图的日期不一定是同一天,所以价格计算上和当日不同,是很正常的。 声明:这一系列文章并无...
身为一个第一线协助客户处理Microsoft 365大大小小的技术人员 如果遇到M365茶包射击(T...
LINQ(发音为link 但很多人都说LIN Q) 最大的特质是具备资料查询的能力以及和 VB、C#...