AD域攻防权威指南:三.组策略信息收集（一）

组策略(Group Policy)用来控制应用程序、系统设置和网络资源，通过组策略可以设 置各种软件、计算机、用户策略。其主要意义在于对计算机账户及用户账户在当前计算机上的行为操作进行管控。组策略可分为本地组策略和域组策略。

1.本地组策略收集

本地组策略(Local Group Policy)是组策略的基础版本，它面向独立且非域的计算机， 包含计算机配置及用户配置策略，如图1-1所示。可以通过本地组策略编辑器更改计算机 中的组策略设置。例如:管理员可以通过本地组策略编辑器为计算机或特定组策略用户设 置多种配置，如桌面配置和安全配置等。

图1-1本地组策略

（1） 本地组策略编辑器

1）通过按下 Windows+R 组合键调出“运行”窗口并输入 gpedit.msc 以运行本地组策 略编辑器，如图 1-2所示。

图1-2 运行本地组策略编辑器

2）进入本地组策略编辑器，如图 1-3 所示。

图1-3 本地组策略编辑器

3）依次选择“计算机配置”→“ Windows 设置”→“脚本(启动 / 关机)”，然后选择 “启动”选项，如图 1-4 所示。

图1-4 选择“脚本(启动 / 关机)”界面中的“启动”选项

4）单击“脚本(启动 / 关机)”界面中的“属性”链接，如图 1-5 所示。

图1-5 在“脚本(启动 / 关机)”界面中单击“属性”链接

5）在这里可以设置开机时启动的脚本，如图 1-6 所示。

图1-6 设置开机启动脚本

6）单击“显示文件”按钮(见图 1-7)就会打开一个目录，可以向该目录投放后门木马，实现权限维持，如图 1-8所示

图1-7 “显示文件”按钮

图1-8 打开目录文件

2 域组策略收集

当想批量管理域内计算机时，域管理员就可以通过组策略管理来统一对域内用户进行管 理。接下来详细阐述域内组策略内容。可以通过 gpmc.msc 命令打开“组策略管理”界面，其中 Default Domain Policy、Default Domain Controllers Policy 是默认的组策略，如图1-9所示。

图1-9 查看域组策略

如图1-10所示，链接指的是相应组策略影响范围，链接的位置可以是站点、域及 OU， 图中组策略的影响范围为安全组这个OU。如果想要看到组策略的具体内容，可以通过 单击右键并保存报告的方式进行查看。

图1-10 保存组策略报告

之后就可以看到其中的具体内容，如图1-11所示。

图1-11 查看组策略报告