Posso substituir a política de grupo de domínio por uma política de grupo local como administrador local?

15

Estou tentando provisionar alguns laptops especiais. Eu gostaria de criar uma conta de convidado local. Tudo bem, mas quando tento criá-lo, solicitei que minha senha de convidado não atendesse aos requisitos de complexidade.

Eu tentei editar a política de segurança local para alterar a complexidade, mas isso está em cinza. É possível substituir a política de domínio por local?

Sim, sei que posso escolher uma senha mais longa, mas esse não é o ponto. Quero saber como substituir a política de domínio no caso de precisar no futuro.

    
por hkkhkhhk 08.05.2014 / 17:18

4 respostas

17

Há sempre uma maneira de invadir as políticas centrais se você tiver acesso de administrador local - no mínimo, você pode fazer as alterações localmente no registro e hackear as configurações de segurança para que não possam ser atualizadas pelo agente de política de grupo. não é o melhor caminho a percorrer. Eu admito fazer isso há 10 anos atrás ... mas realmente ... não. Existem resultados imprevistos em muitos casos.

Veja este artigo technet . A ordem para a aplicação da política é efetivamente:

  1. Local
  2. Site
  3. Domínio
  4. OU

Sua melhor aposta é criar um grupo de computadores e usar esse grupo para excluir seus computadores personalizados da política de complexidade de senhas ou montar uma nova política que substituirá esses padrões, filtrada para se aplicar apenas a esse grupo.

    
por 08.05.2014 / 18:02
11

Eu trabalhei em torno disso, criando um script que substitui as políticas que eu não quero no registro (você pode usar o comando "REG" em um script em lotes). Esse script pode ser configurado para ser executado usando o Agendador de Tarefas, imediatamente após o cliente da Diretiva de Grupo concluir a aplicação da diretiva, usando "Em um evento" como o acionador.

O melhor gatilho de evento que encontrei é Log: Microsoft-Windows-GroupPolicy / Operational, Origem: GroupPolicy e Event ID: 8004, mas você pode verificar os logs do visualizador de eventos para algumas possibilidades adicionais.

    
por 25.05.2017 / 22:51
1

Uma solução potencial, usando o Windows 10 Enterprise. Eu não testei em um ambiente de domínio. Testei-o localmente e evitei que c:\gpupdate /force funcionasse por completo. Se eu entendi o mecanismo corretamente, presumo que isso irá quebrar um componente de base e, portanto, garantirá ao usuário 100% de taxa de sucesso. Eu usei uma ferramenta que me permite executar binários com autoridade TrustedInstaller / System. Sordum PowerRun no meu caso. O binário que eu corri com essas permissões elevadas era "services.msc". Eu então Parei (se iniciado) e desabilitei Group Policy Client (nome do serviço: gpsvc ). É nesse ponto que c:\gpupdate /force não funciona mais. Eu não estou unido a um domínio, mas o tipo de inicialização desativado persistiu por meio de reinicializações. Portanto, a ideia é que você reverta / modifique / substitua / qualquer política de grupo herdada dos controladores de domínio e, em seguida, desative o gpsvc service antes que outro% automatizadogpupdate seja acionado. A maior parte disso é minha teoria, mas gosto dessa solução se funciona, porque subjetivamente sinto que ela tem um alto nível de negação plausível. "uhh .. deve ser o ram indo mal, flippin bits e outros enfeites"

Editar: encontrou um truque, o firewall se desliga se gpsvc estiver desativado: |

    
por 07.10.2017 / 10:11
-3

Remova-o do domínio ... faça o que precisar fazer na máquina e adicione-o novamente. dependendo de como seu GPO está configurado, isso funciona na maioria das situações. De qualquer maneira, eu o executaria pela máfia da IA e obteria alguma coisa por escrito declarando o que você está autorizando. Especialmente considerando, na maioria das situações, uma violação de segurança como um sysadmin pode resultar na rescisão imediata.

    
por 03.07.2015 / 06:27