Чи можу я замінити політику групових доменів на місцеву групову політику як місцевого адміністратора?

Я намагаюся надати декілька ноутбуків із спеціальними кейсами. Я хотів би створити локальний обліковий запис гостей. Це добре, але коли я намагаюся його створити, я підказав, що мій пароль гостя не відповідає вимогам складності.

Я спробував редагувати політику місцевої безпеки, щоб змінити складність, але це було сірим. Чи можливо замінити доменну політику на локальній?

Так, я знаю, що я можу вибрати довший пароль, але це не суть справи. Я хочу знати, як змінити політику домену у випадку, якщо мені це доведеться в майбутньому.

Завжди є спосіб зламати центральну політику, якщо у вас є доступ до місцевого адміністратора - як мінімум, ви можете внести свої зміни локально до реєстру та зламати налаштування безпеки, щоб їх не міг оновити агент групової політики - але це не так " t найкращий шлях. Я визнаю, що робив це 10 років тому .. але насправді .. не варто. У багатьох випадках є непередбачувані результати.

Дивіться цю статтю technet . Порядок застосування політики діє:

1. Місцеві
2. Сайт
3. Домен
4. НУ

Пізніші політики замінять попередні.

Ваша найкраща ставка - створити комп’ютерну групу і використовувати її для виключення власних комп'ютерів із політики складності пароля або складання нової політики, яка буде заміняти ці за замовчуванням, відфільтровану для застосування лише до цієї групи.

Я працював над цим, створюючи сценарій, який переписує політику, яку я не хочу в реєстрі (ви можете використовувати команду "REG" у пакетному сценарії). Цей скрипт можна встановити за допомогою програми планування завдань, одразу після того, як клієнт групової політики закінчить застосовувати політику, використовуючи в якості тригера "На подію".

Найкращий тригер подій, який я знайшов, - це Журнал: Microsoft-Windows-GroupPolicy / Operational, Джерело: GroupPolicy та Ідентифікатор події: 8004, але ви можете перевірити журнали перегляду подій на наявність додаткових можливостей.

Потенційне рішення за допомогою Windows 10 Enterprise. Я не перевіряв його в доменному середовищі. Я перевірив його локально, і це заважало c:\gpupdate /forceповністю працювати. Якщо я правильно розумію механізм, я припускаю, що це порушить основний компонент, і тому гарантую, що користувач 100% успіху. Я використовував інструмент, який дозволяє мені запускати бінарні файли з повноваженнями TrustedInstaller / System. Sordum PowerRunв моєму випадку Бінарний файл, з яким я керував, з такими підвищеними дозволами, був "services.msc". Потім я зупинився (якщо запущено) та відключив Group Policy Client(назва послуги:) gpsvc. Саме в цей момент вона c:\gpupdate /forceвже не функціонує. Я не приєднався до домену, але відключений тип запуску зберігався через перезавантаження. Отже, ідея полягає в тому, що ви повертаєте / змінюєте / змінюєте / будь-яку групову політику, успадковану від контролерів домену,gpsvcсервіс до gpupdateвимикання чергових автоматизованих пожеж. Більшість це моя теорія, але мені подобається це рішення, якщо воно працює, тому що я суб'єктивно відчуваю, що він має високий рівень правдоподібної заперечуваності. "е-е ... повинно бути баран поганий, фліппін-біт та інше"

Редагувати: Якщо ви знайшли химерність, брандмауер вимикається, якщо gpsvcвимкнено: |

Видаліть його з домену ... зробіть все, що вам потрібно зробити на машині, а потім знову додайте його. залежно від того, як налаштовано ваш GPO, це працює в більшості ситуацій. У будь-якому випадку я би запустив його мафією ІА і отримав щось у письмовій формі, вказуючи, що все, що ви робите, дозволено. Особливо враховуючи, що в більшості ситуацій порушення безпеки як систематичного адміністратора може призвести до негайного припинення.