GPO执行逻辑
现在你知道基本的活动部分,让我们仔细看看它们是如何连接的。很简单,GPO执行逻辑的工作原理如下:
· GpLinks可以执行,或不执行。
· OU可以阻止继承,也可以不阻止。
· 如果强制执行GpLink,则关联的GPO将应用于链接的OU和所有子对象,而不管该树中的任何OU是否阻止继承。
· 如果未强制执行GpLink,则关联的GPO将应用于链接的OU和所有子对象,除非该树中的任何OU阻止继承。
最重要的还有更多的复杂问题,我们稍后会介绍。首先,我们来看看上述规则中关于GpLink强制和OU阻止继承的内容。回想一下,我有一个用户在HelpDesk OU中叫做Alice Admin。然而,我们不要在ADUC中看到这一点,而是开始考虑下面这个图表:
上图:域/ OU树中的Alice Admin。
域对象Contoso.Local是一个容器对象。它包含名为ContosoUsers的OU。OU ContosoUsers包含OU帮助台。最后,OU HelpDesk包含用户Alice Admin。
现在,将我们的默认域策略GPO添加到组合中。回想一下,在我的测试域中,该GPO链接到域对象:
上图:“默认域策略”GPO链接到域对象。
现在,在默认情况下,你可以简单地从左至右阅读,以确定默认域策略将应用于用户Alice Admin。这里的“默认情况”是GpLink关系没有被执行,并且这个路径中的容器都没有阻止继承。让我们将这些信息添加到上面的图表中:
在这种情况下,没有强制执行GpLink边缘,因为没有任何OU阻止继承。在我们的测试域中,我们在ContosoUsers下有另一个名为“Accounting”的OU,在该OU中有一个用户:Bob User。举例来说,我们会认为Accounting OU会阻止继承。让我们将其添加到我们现有的图表中:
同样,我们可以看到默认域策略GPO链接到域对象,Bob用户包含在域对象下的OU树中; 但是,由于“Accounting”这个OU会阻止继承,并且由于未强制实施GpLink边缘,所以默认域策略将不适用于Bob用户。
还能跟上我的节奏吗?
让我们在混合中添加另一个GPO并将其链接到域对象,这次我们将强制执行GpLink:
我们称为“自定义密码策略”的新GPO链接到域对象,该对象又包含它下面的整个OU树。现在,因为GPLink被强制执行,所以此策略将应用于OU树中的所有子对象,而不管这些OU中的任何一个是否阻止继承。这意味着尽管“Accounting”这个OU阻止继承,“自定义密码策略”GPO将同时应用于“Alice管理员” 和“Bob用户” 。
根据我们的经验,这些信息将涵盖你在真实企业网络中遇到的95%以上的情况; 但是,还有三件事需要了解,这可能会影响你在渗透测试和红队评估过程中滥用GPO控制路径:WMI筛选,安全筛选和组策略链接顺序和优先级。
· WMI筛选允许管理员根据某个WMI查询是返回True还是False来进一步限制GPO将应用于哪些计算机和用户。例如,当计算机正在处理组策略时,它可以运行WMI查询来检查操作系统是否为Windows 7,并且只有在该查询返回true时才应用组策略。请参阅Darren Mar-Elia的优秀博客文章以了解更多详情。
· 安全筛选允许管理员进一步限制GPO将应用哪些主体。管理员可以限制GPO应用于特定的计算机,用户或特定安全组的成员。默认情况下,每个GPO都应用于“Authenticated Users”这个主体,其中包括任何成功通过域身份验证的主体。有关更多详细信息,请参阅TechGenix站点上的这篇文章。
· 组策略链接顺序决定了在出现冲突的非合并策略时哪个组策略“获胜”。假设你有两个“密码策略”GPO:一个要求用户每30天更改密码,另一个要求用户每60天更改一次密码。无论优先顺序中哪一项策略更高,都是“赢”的策略。组策略客户端通过以相反的优先顺序处理策略来强制执行此“获胜”条件,因此最高优先级策略最后处理,并且“胜出”。幸运的是,对于几乎所有的滥用原语来说,你都不必担心这一点。有关更多信息,请查看此博客文章。
就像我上面所说的,我们的经验是,在真实的企业网络中,你不必担心在遇到95%或更多的情况下的WMI过滤、安全过滤或GpLink顺序,但我会提及它们。如果你的滥用行为无效,请了解从何处开始进行疑难解答。我们可能会尝试将这三个项目在未来推入BloodHound界面。同时,确保你的目标计算机和用户对象不会被WMI或安全过滤器过滤掉,或者尝试推送将被更高优先级策略推翻的恶意组策略。
