Eu tenho um ambiente de laboratório (ish) onde tenho um único domínio em uma única floresta. Eu tenho uma imagem do Windows 7 para os clientes que foi entregue à minha organização (eu não a construí, não tenho certeza absoluta de quem foi) e estou descobrindo que há vários itens que os usuários (até mesmo usuários administrativos, mesmo usuários de administração de domínio) não podem mudar no ambiente do Windows 7, incluindo, mas não se limitando a Sites Confiáveis no IE, Opções de Energia (especificamente, configurando quando bloquear a exibição), etc. Esses são os dois principais que eu quero afetar , mas é apresentada a mensagem de que "algumas configurações são controladas pelo seu administrador .." que eu vi cerca de um milhão de posts sobre.
O que eu tentei até agora - Políticas de grupo - Configurações do registro - Políticas de segurança local - Desbloquear o administrador e & escondido & quot; usando-os - Adicionando os usuários ao 'grupo restrito'
Nada disso parece ter efeito. As políticas de grupo são aplicadas e o GPResult mostra o que eu esperava. Como exemplo, vejo um perfil de energia personalizado que apliquei em um GPO e ele define todas as configurações como eu tinha, exceto a configuração 'desabilitar exibição', que ainda está definida como foi sem minha política e ainda está desativada para evitar mudanças.
Existe mais alguma coisa que eu possa olhar para recuperar o controle sobre minhas máquinas clientes?
**** ATUALIZAÇÃO **** Eu não o expliquei antes explicitamente, mas mudei o computador para uma nova UO que não herda o GPO e, por sugestão, removi a máquina do domínio. As configurações permaneceram no lugar. Quando isso falhou, eu reativei o administrador local e me conectei como o mesmo para ver se isso resolveria o problema, mas isso não aconteceu. Eu suspeitava desde o princípio que qualquer que fosse o problema era feito no nível da imagem, já que todas as estações de trabalho são construídas na mesma imagem e (como demonstrado) parece ser uma configuração que não é definida pelo domínio nem ignorável através de políticas de grupo ( pelo menos não por meios que eu saiba)
As configurações que você "não pode alterar", que fornecem a você a mensagem some settings are controlled by your administrator , são configurações que estão sendo controladas pelo GPO.
"Corrigindo" isso envolve parar os GPOs que forçam essas configurações a não aplicarem à máquina em questão. Você menciona que tem direitos de administrador de domínio, então ...
[Se ainda não o fez, você deverá usar o RSAT .]
O que você provavelmente deve fazer é criar uma UO de teste no AD, usando Active Directory Users and Computers (% SystemRoot% \ system32 \ dsa.msc) e mover essa máquina para ela. Em seguida, usando Group Policy Management (% SystemRoot% \ system32 \ gpmc.msc), você desejará bloquear a herança para essa OU. Como você acabou de criá-lo, não deve haver nenhum GPO vinculado diretamente a ele. Execute gpupdate /force de uma linha de comando para aplicar os novos [falta de] GPOs e reinicialize. Em seguida, você estará livre para alterar as configurações desejadas ou testar os GPOs na máquina como quiser (criando e vinculando-os a essa UO criada).
Como uma abordagem única, você pode sempre remover a máquina do domínio, o que impedirá que os GPOs também sejam aplicados a ela.
Suponho que você também possa alterar / remover os GPOs em questão, mas essa é uma alteração global que se aplicaria a mais do que apenas a sua máquina. Portanto, tenha cuidado. Também é uma ótima maneira de irritar seus administradores do AD, se eles existirem, ou descobrir por que um administrador profissional deve manipular seu ambiente do AD se eles não existirem.
EDIT: Como apontado pelo MDMarra, isso não irá reverter magicamente [a maioria] das configurações aplicadas pelo GPO, mas permitirá que você as altere para o que você deseja. Alterá-los para o que você deseja, depois que os GPOs não estiverem mais sendo aplicados, é uma questão de usar GPEdit.msc para editar as políticas locais ou usar o regedit para remover as seguintes chaves, : :
[HKEY_CURRENT_USER\Software\Policies\Microsoft]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]
(Desculpas, concentrei-me em como "recuperar o controle" do domínio e não pensei em reverter os GPOs aplicados.)