GPOADmin

组策略管理是IT安全性最重要的方面之一。几乎每个组织都使用GPO来配置和保护Active Directory。GPO内置于Windows的每个副本中，因此无需安装任何东西即可使用它。GPO管理可以控制从密码策略到“开始���菜单布局在内的所有内容，并且可以精细地应用，以便仅将特定设置应用于正确的用户和计算机。

有很多具体的例子来说明可以通过GPO管理的内容。

• 输入错误密码达到一定次数后锁定帐户。
• 阻止远程计算机上未识别的用户连接到网络共享。
• 为所有业务用户提供一套标准书签，以便他们可以轻松访问您的帮助台或其他重要资源。
• 限制对某些文件夹的访问。
• 在所有域控制器(DC)上安装相同的软件。
• 在用户计算机上禁用命令提示符。
• 确保及时应用Windows更新。
• 禁用NTLM v1身份验证协议（安全性比Kerberos弱）。

GPO管理现在比以往更加重要，因为Active Directory组策略对黑客来说是一个有吸引力的目标，并且在多个方面存在漏洞。首先，它是透明的。Active Directory的设计确保每个用户都可以看到您拥有的策略、应用这些策略的位置以及谁有权访问这些策略。IT团队通常使用描述性名称来命名Active Directory中的对象，这对他们来说便于管理，但却为黑客提供了可利用的关键信息。其次，它通常是一种“即设即忘”技术。组策略管理非常复杂，需要管理数以千计的策略、委派和修改。整理这些内容可能非常困难，而且不经适当研究便删除策略和委派的管理员会产生很大的风险。结果是，太多的组织甚至没有进行尝试。这使得他们的IT生态系统极其脆弱。