joedevlin
Goto Top

Windows 10 Sysprep - Sicherheitseinstellungen

Hallo,

wir erstellen mittels sysprep /generalize unsere Windows 10-Images für den WDS-Server. Mir ist nun aufgefallen, dass dabei Gruppenrichtlinien im Image erhalten bleiben.

Beispiel:
In einer GPO ist konfiguriert, dass sich Mitglieder eine bestimmten Gruppe nicht lokal Anmelden dürfen.

Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
-> Lokal anmelden verweigern -> DOMÄNE\Keine_Anmeldung

Ich habe nun zufällig bemerkt, dass diese eigentlich im ActiveDirectory erstelle GPO im Image als lokale Gruppenrichtlinie erhalten bleibt. Nach erster Prüfung habe ich festgestellt, dass dies offensichtlich nur bei den Sicherheitseinstellungen so passiert, alle andere lokalen Gruppenrichtlinien sind im Image "nicht konfiguriert".

Frage:
Ist dieses Verhalten so vorgesehen und gibt es eine Möglichkeit beim Sysprep oder in der Unattend.xml dies zu unterbinden?

Content-Key: 533155

Url: https://administrator.de/contentid/533155

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: 142232
Lösung 142232 09.01.2020 aktualisiert um 17:53:03 Uhr
Goto Top
Zitat von @JoeDevlin:
Frage:
Ist dieses Verhalten so vorgesehen
Ja, das nennt sich im Jargon “tattooing” siehe:
https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...

Persistence of security settings policy

Security settings can persist even if a setting is no longer defined in the policy that originally applied it.

Security settings might persist in the following cases:

    The setting has not been previously defined for the device.
    The setting is for a registry security object.
    The settings are for a file system security object.

All settings applied through local policy or through a Group Policy Object are stored in a local database on your computer. Whenever a security setting is modified, the computer saves the security setting value to the local database, which retains a history of all the settings that have been applied to the computer. If a policy first defines a security setting and then no longer defines that setting, then the setting takes on the previous value in the database. If a previous value does not exist in the database then the setting does not revert to anything and remains defined as is. This behavior is sometimes referred to as “tattooing.”

und gibt es eine Möglichkeit beim Sysprep oder in der Unattend.xml dies zu unterbinden?
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
usw.
Siehe:
http://woshub.com/reset-local-group-policies-settings-in-windows/
Mitglied: JoeDevlin
JoeDevlin 09.01.2020 um 20:49:43 Uhr
Goto Top
Super, vielen Dank für die Erklärung!