Czy mogę zastąpić zasady grupy domeny lokalnymi zasadami grupy jako lokalny administrator?

Próbuję zapewnić kilka specjalnych laptopów w obudowie. Chciałbym utworzyć lokalne konto gościa. W porządku, ale kiedy próbuję go utworzyć, poprosiłem, aby hasło gościa nie spełniało wymagań dotyczących złożoności.

Próbowałem edytować lokalną politykę bezpieczeństwa, aby zmienić złożoność, ale jest wyszarzona. Czy można zastąpić zasady domeny lokalnie?

Tak, wiem, że mogę wybrać dłuższe hasło, ale nie o to chodzi. Chcę wiedzieć, jak zastąpić zasady domeny, w razie potrzeby w przyszłości.

Zawsze istnieje sposób na włamanie się do zasad centralnych, jeśli masz lokalny dostęp administratora - co najmniej możesz wprowadzić zmiany lokalnie do rejestru i zhakować ustawienia zabezpieczeń, aby nie mogły zostać zaktualizowane przez agenta zasad grupy - ale to nie jest t najlepsza droga. Przyznaję, że robię to 10 lat temu… ale naprawdę… nie. Nieoczekiwane wyniki w wielu przypadkach.

Zobacz ten artykuł technet . Kolejność stosowania zasad jest efektywna:

1. Lokalny
2. Teren
3. Domena
4. OU

Późniejsze zasady zastąpią wcześniejsze.

Najlepszym rozwiązaniem jest utworzenie grupy komputerów i użycie tej grupy do wykluczenia komputerów niestandardowych z zasad dotyczących złożoności haseł lub do utworzenia nowej zasady, która zastąpi te wartości domyślne, odfiltrowana tak, aby dotyczyła tylko tej grupy.

Pracowałem nad tym, tworząc skrypt, który zastępuje zasady, których nie chcę w rejestrze (możesz użyć polecenia „REG” w skrypcie wsadowym). Skrypt ten można ustawić tak, aby uruchamiał się za pomocą Harmonogramu zadań, natychmiast po zakończeniu stosowania zasad przez klienta Zasad grupowych, za pomocą wyzwalacza „Na zdarzenie”.

Najlepszym wyzwalaczem zdarzeń, który znalazłem, jest Dziennik: Microsoft-Windows-GroupPolicy / Operational, Źródło: GroupPolicy i Identyfikator zdarzenia: 8004, ale możesz sprawdzić dzienniki przeglądarki zdarzeń pod kątem dodatkowych możliwości.

Potencjalne rozwiązanie przy użyciu systemu Windows 10 Enterprise. Nie testowałem tego w środowisku domenowym. Testowałem to lokalnie i nie udało się c:\gpupdate /forcecałkowicie działać. Jeśli dobrze rozumiem mechanizm, zakładam, że spowoduje to uszkodzenie podstawy, a zatem gwarantuje użytkownikowi 100% skuteczność. Użyłem narzędzia, które pozwala mi uruchamiać pliki binarne z uprawnieniami TrustedInstaller / System. Sordum PowerRunw moim przypadku. Plik binarny, który uruchomiłem z tymi podwyższonymi uprawnieniami, to „services.msc”. Następnie zatrzymałem się (jeśli uruchomiono) i wyłączyłem Group Policy Client(nazwa usługi:) gpsvc. W tym momencie c:\gpupdate /forcejuż nie działał. Nie jestem przyłączony do domeny, ale wyłączony typ uruchamiania utrzymywał się przez ponowne uruchomienie. Chodzi o to, że przywracasz / zmieniasz / zastępujesz / cokolwiek zasady grupy odziedziczone z kontrolerów domeny,gpsvcserwis, zanim uruchomi się kolejny automatgpupdateodpala. Większość z nich to moja teoria, ale podoba mi się to rozwiązanie, jeśli działa, ponieważ subiektywnie czuję, że ma wysoki poziom prawdopodobnej zaprzeczalności. „Uch… musi być taran, który się psuje, bity i tak dalej”

Edycja: Znalazłem dziwactwo, zapora sieciowa wyłącza się, jeśli gpsvcjest wyłączona: |

Usuń go z domeny ... zrób wszystko, co musisz zrobić na komputerze, a następnie dodaj go ponownie. w zależności od konfiguracji GPO działa to w większości sytuacji. Tak czy inaczej prowadziłbym to przez mafię IA i dostałem coś na piśmie stwierdzające, że twoje działanie jest dozwolone. Zwłaszcza biorąc pod uwagę, że w większości sytuacji naruszenie bezpieczeństwa jako administrator systemu może spowodować natychmiastowe rozwiązanie umowy.