灵异现象 - 怎麽大家都能改阿

灵异现象

故事主角：小新

小新的 IT 同事小王最近转部门跑去做 RD 了，
但他们感情还是很好，偶尔还是会闲聊，
有一天小王跟小新说：「我发现我现在还能修改公司 GPO 的设定耶」
小新：「不是阿，你换部门的时候不是把你移出 IT 群组了吗」
小王：「对阿，我也没办法存取其他原本 IT 部门的资料了，但 GPO 还能改耶」
小新：

真实情况

首先当然是检查小王是不是不在 IT 管理员群组了

那我们可以清楚看到小王的帐号不在群组了，这时候我们就要去检查 GPO 的权限
在这边提供两张画面截图，让各位想想到底是哪里出错了

解答：
问题出现在最後一张图，Domain Users 被设定了可以修改 GPO 权限，
这种错误常发生在不熟悉 GPO 的人员操作，
或许你会认为这种错误怎麽可能出现在企业里面，
但现实是由於公司早期的网路管理可能没那麽严格，
或是 IT 是半路出家，没有受过相关训练，只发现设定能动的情况下就做了类似设定。

而将第二张图 Security Filtering 的设定也是多余的，
已验证使用者 Authenticated Users 等於是全网域的验证使用者，
根本没必要重复允许 Domain Users，
当骇客能够获取修改 GPO 的权限的时候是十分危险的，
骇客透过 GPO 能够将恶意程序植入或是修改电脑权限。

参考资料

• https://docs.microsoft.com/zh-tw/windows/security/threat-protection/windows-firewall/assign-security-group-filters-to-the-gpo