Yerel grup politikası ile etki alanı grubu politikasını yerel yönetici olarak geçersiz kılabilir miyim?

Birkaç özel durum dizüstü bilgisayar sunmaya çalışıyorum. Yerel bir misafir hesabı oluşturmak istiyorum. Sorun değil, ancak oluşturmaya çalıştığımda konuk şifremin karmaşıklık gereksinimlerini karşılamadığını sordum.

Karmaşıklığı değiştirmek için yerel güvenlik politikasını düzenlemeye çalıştım ama bu gri. Yerel etki alanı politikasını geçersiz kılmak mümkün mü?

Evet, daha uzun bir şifre seçebileceğimi biliyorum ama mesele o değil. Gelecekte ihtiyacım olması durumunda etki alanı politikasını nasıl geçersiz kılacağımı bilmek istiyorum.

Yerel yönetici erişiminiz varsa, en azından yerel olarak kayıt defterinde değişiklik yapabilir ve güvenlik ilkelerini grup ilke aracısı tarafından güncelleştirilemeyecekleri için güvenlik ayarlarına hackleyebilirsiniz. t gitmek için en iyi yol. 10 yıl önce yaptığını itiraf edeceğim .. ama gerçekten .. yapma. Pek çok durumda beklenmeyen sonuçlar var.

Bu Bkz technet makalesine. Politika başvuru sırası etkilidir:

1. Yerel
2. yer
3. domain
4. OU

Daha sonraki politikalar daha öncekilerin üzerine yazacaktır.

En iyi seçeneğiniz, bir bilgisayar grubu oluşturmak ve bu grubu özel bilgisayarlarınızı parola karmaşıklığı ilkesinden çıkarmak için kullanmak veya bu varsayılanları geçersiz kılacak, yalnızca bu gruba uygulanacak şekilde filtrelenecek yeni bir politika oluşturmaktır.

Bunun için kayıt defterinde istemediğim ilkeleri yazan bir komut dosyası oluşturarak çalıştım (bir toplu iş komut dosyasında "REG" komutunu kullanabilirsiniz). Bu komut dosyası, Grup İlkesi istemcisi ilkeyi uygulamayı tamamladıktan hemen sonra, tetikleyici olarak "Bir olayda" kullanarak Görev Zamanlayıcı'yı kullanarak çalıştırılabilir.

Bulduğum en iyi olay tetikleyicisi Günlük: Microsoft-Windows-GroupPolicy / Operation, Kaynak: GroupPolicy ve Event ID: 8004'tür, ancak bazı ek olasılıklar için olay görüntüleyici günlüklerini kontrol edebilirsiniz.

Windows 10 Enterprise kullanan potansiyel bir çözüm. Etki alanı ortamında test etmedim. Yerel olarak test ettim ve c:\gpupdate /forcetamamen çalışmasını engelledim . Mekanizmayı doğru anlarsam, bunun bir temel bileşeni bozacağını ve bu nedenle kullanıcının% 100 başarı oranını garanti edeceğini tahmin ediyorum. TrustedInstaller / System yetkilisiyle ikili dosyaları çalıştırmamı sağlayan bir araç kullandım. Sordum PowerRunbenim durumumda. Bu yükseltilmiş izinlerle koştuğum ikili "services.msc" idi. Sonra Durdu (başlatıldıysa) ve devre dışı bırakıldı Group Policy Client(servis adı :) gpsvc. Bu noktada c:\gpupdate /forceartık çalışmadı. Bir etki alanına katıldım, ancak devre dışı bırakılan başlangıç ​​türü yeniden başlatmalarla devam etti. Yani fikir, etki alanı denetleyicilerinden miras alan grup politikalarını geri alır / değiştirir / geçersiz kılgpsvcbaşka bir otomatikleştirilmiş gpupdateyangından önce servis . Bunun çoğu benim teorim, ancak işe yararsa bu çözümü sevdim, çünkü öznel olarak makul bir inkar edilebilirliğe sahip olduğunu hissediyorum. "ahh .. ram kötüye gidiyor olmalı, flippin bit ve ne olursa olsun"

Düzenleme: Bir tuhaflık buldunuz mu gpsvc, devre dışı bırakılırsa güvenlik duvarı kendini kapatır :

Etki alanından kaldırın ... makineye ne gerekiyorsa yapın, sonra yeniden ekleyin. GPO'nuzun kurulumuna bağlı olarak bu çoğu durumda işe yarar. Her iki şekilde de IA mafyası tarafından yönetilir ve yaptığınız işi onayladığını belirten bir şeyler yazarım. Özellikle çoğu durumda, bir sysadmin olarak güvenlik ihlali derhal sonlandırılabilir.