Como posso, como Administrador de Estações de Trabalho, desabilitar a Diretiva de Grupo nessa estação de trabalho?
O Administrador de Domínio está alimentando lixo por meio da Política de Grupo e eu quero que ele seja interrompido.
Last antic: ativando as atualizações automáticas globalmente. Resultado: o servidor de construção começou a fazer construções ruins.
A educação deste Administrador de Domínio é uma causa sem esperança.
Realmente, não confio mais no domínio, exceto nos logins.
EDIT: resposta real de como fazer isso (não posso adicionar a resposta como pergunta está fechada):
A antiga batalha "nós contra eles" (ou mais apropriadamente a antiga batalha "desenvolvedores versus administradores"). Talvez uma conversa esteja em ordem aqui entre a equipe de desenvolvimento e a equipe de administração do sistema. Não pode haver vencedores se os dois lados não encontrarem uma maneira de trabalhar juntos em direção aos objetivos comuns da empresa. Em última análise, a tecnologia não pode consertar o que é, na sua essência, um problema político, orientado pelo ego.
Minha opinião: isso não é um problema técnico no que diz respeito a bloquear o gerenciamento de domínio de suas máquinas.
Trata-se de comunicação (e processos de negócios e políticas e talvez acordos operacionais ou de serviço) entre o seu grupo e o grupo que define as políticas do AD.
Você precisa documentar quais são os seus requisitos para o servidor e, em seguida, descobrir se isso significa coisas como nenhuma atualização global e isso significa que os chefes precisam concordar com isso. Da mesma forma, eles provavelmente têm outros requisitos que precisam se comunicar. Tem que haver um compromisso que seja viável para ambos os lados ... ambos os grupos precisam estar comprometidos em encontrá-lo.
Se, depois que houver um acordo viável em vigor, eles violarem o contrato, é hora de chamá-lo e escalar. Você começa mostrando o impacto do servidor de compilação quebrado, por exemplo, reclamando com chefes, etc.
Bem, falarei sobre a maneira mais fácil de subverter a Diretiva de Grupo (minha experiência varia com o Windows XP, Vista e 7 e deve funcionar em princípio com todos eles).
Primeiramente, você precisará de privilégios locais de Administrador na caixa em questão . Se você não fizer isso, você terá que fazer isso primeiro (e se você receber um grito, não o meu problema).
Agora, aqui é onde a diversão começa. Mantenha essa conexão ethernet desconectada.
Agora, até agora, você limpou a loja local do GP nesta caixa. Agora, se você reconectar, tudo o que acontecerá é que ele certamente será reaplicado na reinicialização. Esse é o picles, meu amigo. Agora, para avançar nesse conceito, você tem apenas duas opções: mover o objeto de computador para uma UO, onde ele não é afetado por esses GPOs ou não do domínio. Dependendo de quem você é na sua organização, espere a ira de alguém se você não for o cara certo. Então, se você decidir desmembrar, o que significa que também está perdendo a autenticação do AD (mas tenho certeza de que você sabe disso, faça o seguinte).
3a. Unjoin do domínio, copiando colando isso no prompt de comando. %código%. Você pode fazer isso da maneira GUI, mas eu odeio isso. Se for bem sucedido, o valor de retorno será 0. 4a. Volte a ligar o cabo Ethernet e reinicie a máquina.
ou
3b. Mova-o para a OU adequada sem interferir na política. 4b. Hora da Ethernet, reconecte e reinicie.
Agora, não vou explicar 3b. Se você é um administrador sabe o que está fazendo, não preciso explicar. Se você não fizer isso, você provavelmente não deve fazer isso em primeiro lugar.
Um método que já vi é desabilitar o "NetBIOS TCP / IP Helper Service". O motivo pelo qual isso funciona é que os GPOs estão localizados em um domínio DNS como "addomain.example.com" e, sem esse serviço, as estações do Windows locais não podem transformá-lo em um endereço IP para processamento de GPO. Isso tem outros efeitos colaterais, mas pelo menos você ainda pode manter o domínio e ignorar a política de rede.
Observe que isso não impede a aplicação dos GPOs, mas impede que eles sejam atualizados . Para remover o cache local, o alharaka tem esse procedimento.
De que tipos de efeitos colaterais estamos falando? Se você ainda tiver um servidor WINS, talvez nem perceba. Se você NÃO tiver um servidor WINS, o acesso a estações de trabalho sub-rede do Windows (como, digamos, Controladores de Domínio para login) não funcionará. Você pode ter que recorrer ao preenchimento do seu arquivo lmhosts para os DCs apenas para que você possa efetuar login.
Obtenha sua própria OU e grave suas próprias políticas para substituir ou bloquear a herança.
Basicamente, não há solução que eu recomendaria para um servidor de produção. (sim, você pode brincar com a desabilitação de diretivas aplicando dlls (e proteção de arquivos do Windows, etc) e coisas assim, mas isso parece insensato)
Comunique-se bem para alcançar a melhor alternativa.
Se você iniciar uma guerra de TI, poderá confiar que os Administradores executem ações administrativas ... como a filtragem de endereços do Mac, para que você não tenha acesso à Internet até que seja legal.
Pode ser política, mas se ele estivesse se comunicando com você, esse problema não existiria. Então, inflar o problema não se comunicando de volta não é melhor fazer.
Tags group-policy runas