Posso substituir a política de grupo de domínio por uma política de grupo local como administrador local?

Há sempre uma maneira de invadir as políticas centrais se você tiver acesso de administrador local - no mínimo, você pode fazer as alterações localmente no registro e hackear as configurações de segurança para que não possam ser atualizadas pelo agente de política de grupo. não é o melhor caminho a percorrer. Eu admito fazer isso há 10 anos atrás ... mas realmente ... não. Existem resultados imprevistos em muitos casos.

Veja este artigo technet . A ordem para a aplicação da política é efetivamente:

1. Local
2. Site
3. Domínio
4. OU

Sua melhor aposta é criar um grupo de computadores e usar esse grupo para excluir seus computadores personalizados da política de complexidade de senhas ou montar uma nova política que substituirá esses padrões, filtrada para se aplicar apenas a esse grupo.

Eu trabalhei em torno disso, criando um script que substitui as políticas que eu não quero no registro (você pode usar o comando "REG" em um script em lotes). Esse script pode ser configurado para ser executado usando o Agendador de Tarefas, imediatamente após o cliente da Diretiva de Grupo concluir a aplicação da diretiva, usando "Em um evento" como o acionador.

O melhor gatilho de evento que encontrei é Log: Microsoft-Windows-GroupPolicy / Operational, Origem: GroupPolicy e Event ID: 8004, mas você pode verificar os logs do visualizador de eventos para algumas possibilidades adicionais.

Uma solução potencial, usando o Windows 10 Enterprise. Eu não testei em um ambiente de domínio. Testei-o localmente e evitei que c:\gpupdate /force funcionasse por completo. Se eu entendi o mecanismo corretamente, presumo que isso irá quebrar um componente de base e, portanto, garantirá ao usuário 100% de taxa de sucesso. Eu usei uma ferramenta que me permite executar binários com autoridade TrustedInstaller / System. Sordum PowerRun no meu caso. O binário que eu corri com essas permissões elevadas era "services.msc". Eu então Parei (se iniciado) e desabilitei Group Policy Client (nome do serviço: gpsvc ). É nesse ponto que c:\gpupdate /force não funciona mais. Eu não estou unido a um domínio, mas o tipo de inicialização desativado persistiu por meio de reinicializações. Portanto, a ideia é que você reverta / modifique / substitua / qualquer política de grupo herdada dos controladores de domínio e, em seguida, desative o gpsvc service antes que outro% automatizadogpupdate seja acionado. A maior parte disso é minha teoria, mas gosto dessa solução se funciona, porque subjetivamente sinto que ela tem um alto nível de negação plausível. "uhh .. deve ser o ram indo mal, flippin bits e outros enfeites"

Editar: encontrou um truque, o firewall se desliga se gpsvc estiver desativado: |

Remova-o do domínio ... faça o que precisar fazer na máquina e adicione-o novamente. dependendo de como seu GPO está configurado, isso funciona na maioria das situações. De qualquer maneira, eu o executaria pela máfia da IA e obteria alguma coisa por escrito declarando o que você está autorizando. Especialmente considerando, na maioria das situações, uma violação de segurança como um sysadmin pode resultar na rescisão imediata.