Tôi có thể ghi đè chính sách nhóm miền bằng chính sách nhóm cục bộ với tư cách quản trị viên cục bộ không?

Tôi đang cố gắng cung cấp một vài máy tính xách tay trường hợp đặc biệt. Tôi muốn tạo một tài khoản khách địa phương. Điều đó tốt nhưng khi tôi cố gắng tạo nó, tôi đã nhắc rằng mật khẩu khách của tôi không đáp ứng các yêu cầu phức tạp.

Tôi đã thử chỉnh sửa chính sách bảo mật cục bộ để thay đổi sự phức tạp nhưng điều này bị mờ đi. Có thể ghi đè chính sách tên miền với địa phương?

Vâng, tôi biết tôi có thể chọn một mật khẩu dài hơn nhưng đó không phải là vấn đề. Tôi muốn biết cách ghi đè chính sách tên miền trong trường hợp tôi cần trong tương lai.

Luôn có cách để hack xung quanh các chính sách trung tâm nếu bạn có quyền truy cập quản trị viên cục bộ - tối thiểu bạn có thể thực hiện các thay đổi cục bộ của mình đối với sổ đăng ký và hack các cài đặt bảo mật để chúng không thể được cập nhật bởi đại lý chính sách nhóm - nhưng đó không phải là ' cách tốt nhất để đi Tôi sẽ thừa nhận làm điều đó 10 năm trước .. nhưng thực sự .. không. Có kết quả không lường trước được trong rất nhiều trường hợp.

Xem này TechNet bài viết. Thứ tự áp dụng chính sách có hiệu quả:

1. Địa phương
2. Trang web
3. Miền
4. NGOÀI

Các chính sách sau này sẽ ghi đè lên các chính sách trước đó.

Đặt cược tốt nhất của bạn là tạo một nhóm máy tính và sử dụng nhóm đó để loại trừ các máy tính tùy chỉnh của bạn khỏi chính sách phức tạp mật khẩu hoặc tập hợp một chính sách mới sẽ ghi đè các mặc định này, được lọc để chỉ áp dụng cho nhóm này.

Tôi đã giải quyết vấn đề này bằng cách tạo tập lệnh ghi đè các chính sách tôi không muốn trong sổ đăng ký (bạn có thể sử dụng lệnh "REG" trong tập lệnh bó). Tập lệnh này có thể được thiết lập để chạy bằng Trình lập lịch tác vụ, ngay sau khi máy khách Chính sách nhóm hoàn thành việc áp dụng chính sách, bằng cách sử dụng "Trên một sự kiện" làm trình kích hoạt.

Trình kích hoạt sự kiện tốt nhất mà tôi đã tìm thấy là Nhật ký: Microsoft-Windows-GroupPolicy / Toán tử, Nguồn: GroupPolicy và ID sự kiện: 8004, nhưng bạn có thể kiểm tra nhật ký trình xem sự kiện để biết thêm một số khả năng.

Một giải pháp tiềm năng, sử dụng Windows 10 Enterprise. Tôi đã không thử nó trong một môi trường miền. Tôi đã thử nghiệm nó tại địa phương, và nó ngăn không cho hoạt c:\gpupdate /forceđộng hoàn toàn. Nếu tôi hiểu cơ chế chính xác, tôi cho rằng điều này sẽ phá vỡ một thành phần nền tảng và do đó đảm bảo tỷ lệ thành công của người dùng là 100%. Tôi đã sử dụng một công cụ cho phép tôi chạy nhị phân với quyền của TrustedInstaller / System. Sordum PowerRuntrong trường hợp của tôi. Nhị phân mà tôi đã chạy với các quyền nâng cao này là "services.msc". Sau đó tôi đã dừng (nếu bắt đầu) và bị vô hiệu hóa Group Policy Client(tên dịch vụ gpsvc:). Tại thời điểm này c:\gpupdate /forcekhông còn hoạt động. Tôi không tham gia vào một tên miền, nhưng loại khởi động bị vô hiệu hóa vẫn tồn tại thông qua khởi động lại. Vì vậy, ý tưởng là, bạn hoàn nguyên / thay đổi / ghi đè / bất kỳ chính sách nhóm nào được kế thừa từ bộ điều khiển miền,gpsvcdịch vụ trước khi một gpupdateđám cháy tự động tắt. Hầu hết đây là lý thuyết của tôi, nhưng tôi thích giải pháp này nếu nó hoạt động, bởi vì tôi chủ quan cảm thấy nó có mức độ từ chối hợp lý cao. "uhh .. phải là ram đi xấu, bit flippin và không có gì"

Chỉnh sửa: Đã tìm thấy một sự cố, tường lửa sẽ tự tắt nếu gpsvcbị tắt: |

Xóa nó khỏi miền ... làm bất cứ điều gì bạn cần làm cho máy sau đó thêm lại. tùy thuộc vào cách GPO của bạn được thiết lập, điều này hoạt động trong hầu hết các tình huống. Dù bằng cách nào tôi cũng sẽ điều hành nó bởi mafia IA và nhận được một cái gì đó bằng văn bản nêu rõ bất cứ điều gì bạn làm đều được ủy quyền. Đặc biệt là xem xét trong hầu hết các tình huống vi phạm an ninh như một sysadmin có thể dẫn đến chấm dứt ngay lập tức.