Могу ли я переопределить групповую политику домена локальной политикой как локальный администратор?

24

Я пытаюсь предоставить несколько специальных ноутбуков. Я хотел бы создать локальную гостевую учетную запись. Это нормально, но когда я пытаюсь создать его, я получаю сообщение о том, что мой гостевой пароль не соответствует требованиям сложности.

Я попытался отредактировать локальную политику безопасности, чтобы изменить сложность, но она неактивна. Можно ли переопределить политику домена с локальной?

Да, я знаю, что могу выбрать более длинный пароль, но это не главное. Я хочу знать, как переопределить политику домена в случае необходимости в будущем.

windows active-directory group-policy hkkhkhhk
источник

Ответы:

24

Всегда есть способ взломать центральные политики, если у вас есть доступ локального администратора - как минимум, вы можете внести свои изменения локально в реестр и взломать параметры безопасности, чтобы они не могли быть обновлены агентом групповой политики - но это не так. это лучший путь. Я признаю, что сделал это 10 лет назад .. но на самом деле .. нет. Есть непредвиденные результаты во многих случаях.

Смотрите эту статью Technet . Порядок применения политики эффективно:

  1. Местный
  2. сайт
  3. Домен
  4. ОУ

Более поздние политики будут перезаписывать более ранние.

Лучше всего создать группу компьютеров и использовать эту группу, чтобы либо исключить ваши пользовательские компьютеры из политики сложности паролей, либо создать новую политику, которая переопределяет эти значения по умолчанию, отфильтрованные для применения только к этой группе.

Тим Бригам
источник
4
Спасибо. Очень информативно. Это очень глупо, хотя. Локальный администратор должен иметь полную власть над этой конкретной локальной машиной, точно так же, как Linux root.
hkkhkhhk
2
@hkkhkhhk - даже у root в Linux есть ограничения. :) Если вы используете продукт централизованного управления, такой как Puppet или Chef, они будут продолжать выдвигать свои политики и отменять изменения, внесенные локальной учетной записью root, подобно групповой политике. Дизайн является намеренным - он заставляет людей использовать масштабируемые методы.
Тим Бригам
Но, как Linux root, я всегда могу сообщить Puppet GTFO, если мне нужно;). Я имею в виду, что локальная конфигурация всегда лучше удаленной (например, аутентификация NIS + или LDAP). Все, что делает марионеточный демон - это выталкивает конфиги, которые применяются локально.
hkkhkhhk
11
@hkkhkhhk - Это не «тупой» дизайн. Администратор домена всегда превосходит локального администратора. В этом весь смысл.
1
Чтобы добавить комментарий hkkhkhhk: Если вы являетесь локальным администратором и не хотите, чтобы администратор домена вас раздражал, у вас есть право покинуть домен. Однако у вас нет полномочий переопределять правила домена, установленные групповой политикой. (Ну, у вас есть, но только путем взлома, как описано в ответе.)
Martin Liversage
18

Я работал над этим, создавая сценарий, который переписывает политики, которые мне не нужны, в реестре (вы можете использовать команду «REG» в пакетном сценарии). Этот сценарий можно настроить на запуск с использованием планировщика задач, сразу после того, как клиент групповой политики завершит применение политики, используя «В случае события» в качестве триггера.

Наилучший триггер событий, который я обнаружил, - это Журнал: Microsoft-Windows-GroupPolicy / Operational, Источник: GroupPolicy и Идентификатор события: 8004, но вы можете проверить журналы средства просмотра событий на наличие дополнительных возможностей.

Аарон
источник
1
Чувак ты мой герой. Люди не забывают, что если вы изменяете ключи реестра (например, для брандмауэра Windows), вам необходимо перезапустить соответствующую службу, чтобы она подобрала ваши изменения.
brakertech
1

Потенциальное решение с использованием Windows 10 Enterprise. Я не проверял это в доменной среде. Я проверил это локально, и это мешало c:\gpupdate /forceработать полностью. Если я правильно понимаю механизм, я предполагаю, что это сломает основополагающий компонент и, следовательно, гарантирует пользователю 100% успешность. Я использовал инструмент, который позволяет мне запускать двоичные файлы с полномочиями TrustedInstaller / System. Sordum PowerRunв моем случае. Двоичный файл, который я запускал с этими повышенными разрешениями, был «services.msc». Затем я остановился (если запущен) и отключен Group Policy Client(имя службы:) gpsvc. Именно в этот момент c:\gpupdate /forceбольше не функционирует. Я не присоединен к домену, но отключенный тип запуска сохраняется после перезагрузки. Таким образом, идея в том, что вы отменяете / изменяете / переопределяете / любые групповые политики, унаследованные от контроллеров домена,gpsvcобслуживание перед очередным автоматическим gpupdateзапуском. Большая часть этого - моя теория, но мне нравится это решение, если оно работает, потому что я субъективно чувствую, что оно имеет высокий уровень правдоподобного отрицания. "Э-э-э ... Должно быть, баран идет плохо, флиппин и прочее"

Изменить: действительно нашел причуду, брандмауэр отключается, если gpsvcотключен: |

meffect
источник
-3

Удалите его из домена ... сделайте все, что вам нужно сделать с машиной, а затем снова добавьте его. в зависимости от того, как настроен ваш объект групповой политики, это работает в большинстве ситуаций. В любом случае, я бы управлял ею мафией ИА и получал что-то в письменном виде с указанием того, что вы делаете, разрешено. Особенно учитывая, что в большинстве ситуаций нарушение безопасности в качестве системного администратора может привести к немедленному завершению.

Даррелл
источник
2
Это очень мало шансов на работу. В следующий раз, когда произойдет синхронизация групповой политики, все снова изменится.
mstaessen