Próbuję zapewnić kilka specjalnych laptopów w obudowie. Chciałbym utworzyć lokalne konto gościa. W porządku, ale kiedy próbuję go utworzyć, poprosiłem, aby hasło gościa nie spełniało wymagań dotyczących złożoności.
Próbowałem edytować lokalną politykę bezpieczeństwa, aby zmienić złożoność, ale jest wyszarzona. Czy można zastąpić zasady domeny lokalnie?
Tak, wiem, że mogę wybrać dłuższe hasło, ale nie o to chodzi. Chcę wiedzieć, jak zastąpić zasady domeny, w razie potrzeby w przyszłości.
źródło
Pracowałem nad tym, tworząc skrypt, który zastępuje zasady, których nie chcę w rejestrze (możesz użyć polecenia „REG” w skrypcie wsadowym). Skrypt ten można ustawić tak, aby uruchamiał się za pomocą Harmonogramu zadań, natychmiast po zakończeniu stosowania zasad przez klienta Zasad grupowych, za pomocą wyzwalacza „Na zdarzenie”.
Najlepszym wyzwalaczem zdarzeń, który znalazłem, jest Dziennik: Microsoft-Windows-GroupPolicy / Operational, Źródło: GroupPolicy i Identyfikator zdarzenia: 8004, ale możesz sprawdzić dzienniki przeglądarki zdarzeń pod kątem dodatkowych możliwości.
źródło
Potencjalne rozwiązanie przy użyciu systemu Windows 10 Enterprise. Nie testowałem tego w środowisku domenowym. Testowałem to lokalnie i nie udało się
c:\gpupdate /force
całkowicie działać. Jeśli dobrze rozumiem mechanizm, zakładam, że spowoduje to uszkodzenie podstawy, a zatem gwarantuje użytkownikowi 100% skuteczność. Użyłem narzędzia, które pozwala mi uruchamiać pliki binarne z uprawnieniami TrustedInstaller / System.Sordum PowerRun
w moim przypadku. Plik binarny, który uruchomiłem z tymi podwyższonymi uprawnieniami, to „services.msc”. Następnie zatrzymałem się (jeśli uruchomiono) i wyłączyłemGroup Policy Client
(nazwa usługi:)gpsvc
. W tym momenciec:\gpupdate /force
już nie działał. Nie jestem przyłączony do domeny, ale wyłączony typ uruchamiania utrzymywał się przez ponowne uruchomienie. Chodzi o to, że przywracasz / zmieniasz / zastępujesz / cokolwiek zasady grupy odziedziczone z kontrolerów domeny,gpsvc
serwis, zanim uruchomi się kolejny automatgpupdate
odpala. Większość z nich to moja teoria, ale podoba mi się to rozwiązanie, jeśli działa, ponieważ subiektywnie czuję, że ma wysoki poziom prawdopodobnej zaprzeczalności. „Uch… musi być taran, który się psuje, bity i tak dalej”Edycja: Znalazłem dziwactwo, zapora sieciowa wyłącza się, jeśli
gpsvc
jest wyłączona: |źródło
Usuń go z domeny ... zrób wszystko, co musisz zrobić na komputerze, a następnie dodaj go ponownie. w zależności od konfiguracji GPO działa to w większości sytuacji. Tak czy inaczej prowadziłbym to przez mafię IA i dostałem coś na piśmie stwierdzające, że twoje działanie jest dozwolone. Zwłaszcza biorąc pod uwagę, że w większości sytuacji naruszenie bezpieczeństwa jako administrator systemu może spowodować natychmiastowe rozwiązanie umowy.
źródło