Czy mogę zastąpić zasady grupy domeny lokalnymi zasadami grupy jako lokalny administrator?

24

Próbuję zapewnić kilka specjalnych laptopów w obudowie. Chciałbym utworzyć lokalne konto gościa. W porządku, ale kiedy próbuję go utworzyć, poprosiłem, aby hasło gościa nie spełniało wymagań dotyczących złożoności.

Próbowałem edytować lokalną politykę bezpieczeństwa, aby zmienić złożoność, ale jest wyszarzona. Czy można zastąpić zasady domeny lokalnie?

Tak, wiem, że mogę wybrać dłuższe hasło, ale nie o to chodzi. Chcę wiedzieć, jak zastąpić zasady domeny, w razie potrzeby w przyszłości.

hkkhkhhk
źródło

Odpowiedzi:

24

Zawsze istnieje sposób na włamanie się do zasad centralnych, jeśli masz lokalny dostęp administratora - co najmniej możesz wprowadzić zmiany lokalnie do rejestru i zhakować ustawienia zabezpieczeń, aby nie mogły zostać zaktualizowane przez agenta zasad grupy - ale to nie jest t najlepsza droga. Przyznaję, że robię to 10 lat temu… ale naprawdę… nie. Nieoczekiwane wyniki w wielu przypadkach.

Zobacz ten artykuł technet . Kolejność stosowania zasad jest efektywna:

  1. Lokalny
  2. Teren
  3. Domena
  4. OU

Późniejsze zasady zastąpią wcześniejsze.

Najlepszym rozwiązaniem jest utworzenie grupy komputerów i użycie tej grupy do wykluczenia komputerów niestandardowych z zasad dotyczących złożoności haseł lub do utworzenia nowej zasady, która zastąpi te wartości domyślne, odfiltrowana tak, aby dotyczyła tylko tej grupy.

Tim Brigham
źródło
4
Dziękuję Ci. Bardzo informujące. To jest jednak bardzo głupie. Lokalny administrator powinien mieć pełną władzę nad tym konkretnym komputerem lokalnym, tak jak Linux root.
hkkhkhhk
2
@ hkkhkhhk - nawet root w Linuksie ma ograniczenia. :) Jeśli używasz scentralizowanego produktu do zarządzania, takiego jak Puppet lub Chef, będą wypychać swoje zasady i cofać zmiany wprowadzone przez lokalne konto root, podobnie jak zasady grupy. Projekt jest celowy - zmusza ludzi do korzystania ze skalowalnych metod.
Tim Brigham,
Ale jako root Linux zawsze mogę w razie potrzeby powiedzieć Puppet GTFO;). Mam na myśli to, że lokalna konfiguracja zawsze bije na odległość (pomyśl o uwierzytelnieniu NIS + lub LDAP). Wszystko, co robi marionetkowy deamon, to w zasadzie wypychanie konfiguracji, które są stosowane lokalnie.
hkkhkhhk
11
@hkkhkhhk - To nie jest „głupi” projekt. Administrator domeny zawsze przebija lokalnego administratora. To o to chodzi.
1
Aby dodać do komentarza hkkhkhhk: Jeśli jesteś lokalnym administratorem i nie lubisz być oszukanym przez administratora domeny, możesz opuścić domenę. Nie masz jednak możliwości zastąpienia reguł domeny określonych przez zasady grupy. (Cóż, masz, ale tylko poprzez hakowanie zgodnie z opisem w odpowiedzi.)
Martin Liversage
18

Pracowałem nad tym, tworząc skrypt, który zastępuje zasady, których nie chcę w rejestrze (możesz użyć polecenia „REG” w skrypcie wsadowym). Skrypt ten można ustawić tak, aby uruchamiał się za pomocą Harmonogramu zadań, natychmiast po zakończeniu stosowania zasad przez klienta Zasad grupowych, za pomocą wyzwalacza „Na zdarzenie”.

Najlepszym wyzwalaczem zdarzeń, który znalazłem, jest Dziennik: Microsoft-Windows-GroupPolicy / Operational, Źródło: GroupPolicy i Identyfikator zdarzenia: 8004, ale możesz sprawdzić dzienniki przeglądarki zdarzeń pod kątem dodatkowych możliwości.

Aaron
źródło
1
Koleś, jesteś moim bohaterem. Ludzie nie zapominają, że jeśli modyfikujesz klucze rejestru (na przykład zaporę systemu Windows), musisz ponownie uruchomić daną usługę, aby mogła pobrać zmiany.
brakertech,
1

Potencjalne rozwiązanie przy użyciu systemu Windows 10 Enterprise. Nie testowałem tego w środowisku domenowym. Testowałem to lokalnie i nie udało się c:\gpupdate /forcecałkowicie działać. Jeśli dobrze rozumiem mechanizm, zakładam, że spowoduje to uszkodzenie podstawy, a zatem gwarantuje użytkownikowi 100% skuteczność. Użyłem narzędzia, które pozwala mi uruchamiać pliki binarne z uprawnieniami TrustedInstaller / System. Sordum PowerRunw moim przypadku. Plik binarny, który uruchomiłem z tymi podwyższonymi uprawnieniami, to „services.msc”. Następnie zatrzymałem się (jeśli uruchomiono) i wyłączyłem Group Policy Client(nazwa usługi:) gpsvc. W tym momencie c:\gpupdate /forcejuż nie działał. Nie jestem przyłączony do domeny, ale wyłączony typ uruchamiania utrzymywał się przez ponowne uruchomienie. Chodzi o to, że przywracasz / zmieniasz / zastępujesz / cokolwiek zasady grupy odziedziczone z kontrolerów domeny,gpsvcserwis, zanim uruchomi się kolejny automatgpupdateodpala. Większość z nich to moja teoria, ale podoba mi się to rozwiązanie, jeśli działa, ponieważ subiektywnie czuję, że ma wysoki poziom prawdopodobnej zaprzeczalności. „Uch… musi być taran, który się psuje, bity i tak dalej”

Edycja: Znalazłem dziwactwo, zapora sieciowa wyłącza się, jeśli gpsvcjest wyłączona: |

skuteczny
źródło
-3

Usuń go z domeny ... zrób wszystko, co musisz zrobić na komputerze, a następnie dodaj go ponownie. w zależności od konfiguracji GPO działa to w większości sytuacji. Tak czy inaczej prowadziłbym to przez mafię IA i dostałem coś na piśmie stwierdzające, że twoje działanie jest dozwolone. Zwłaszcza biorąc pod uwagę, że w większości sytuacji naruszenie bezpieczeństwa jako administrator systemu może spowodować natychmiastowe rozwiązanie umowy.

darrell
źródło
2
Ma to bardzo małe szanse na działanie. Następnym razem, gdy nastąpi synchronizacja zasad grupy, wszystko się zmieniło.
mstaessen