Tôi có thể ghi đè chính sách nhóm miền bằng chính sách nhóm cục bộ với tư cách quản trị viên cục bộ không?


24

Tôi đang cố gắng cung cấp một vài máy tính xách tay trường hợp đặc biệt. Tôi muốn tạo một tài khoản khách địa phương. Điều đó tốt nhưng khi tôi cố gắng tạo nó, tôi đã nhắc rằng mật khẩu khách của tôi không đáp ứng các yêu cầu phức tạp.

Tôi đã thử chỉnh sửa chính sách bảo mật cục bộ để thay đổi sự phức tạp nhưng điều này bị mờ đi. Có thể ghi đè chính sách tên miền với địa phương?

Vâng, tôi biết tôi có thể chọn một mật khẩu dài hơn nhưng đó không phải là vấn đề. Tôi muốn biết cách ghi đè chính sách tên miền trong trường hợp tôi cần trong tương lai.

Câu trả lời:


24

Luôn có cách để hack xung quanh các chính sách trung tâm nếu bạn có quyền truy cập quản trị viên cục bộ - tối thiểu bạn có thể thực hiện các thay đổi cục bộ của mình đối với sổ đăng ký và hack các cài đặt bảo mật để chúng không thể được cập nhật bởi đại lý chính sách nhóm - nhưng đó không phải là ' cách tốt nhất để đi Tôi sẽ thừa nhận làm điều đó 10 năm trước .. nhưng thực sự .. không. Có kết quả không lường trước được trong rất nhiều trường hợp.

Xem này TechNet bài viết. Thứ tự áp dụng chính sách có hiệu quả:

  1. Địa phương
  2. Trang web
  3. Miền
  4. NGOÀI

Các chính sách sau này sẽ ghi đè lên các chính sách trước đó.

Đặt cược tốt nhất của bạn là tạo một nhóm máy tính và sử dụng nhóm đó để loại trừ các máy tính tùy chỉnh của bạn khỏi chính sách phức tạp mật khẩu hoặc tập hợp một chính sách mới sẽ ghi đè các mặc định này, được lọc để chỉ áp dụng cho nhóm này.


4
Cảm ơn bạn. Rất nhiều thông tin. Đó là rất ngu ngốc mặc dù. Một quản trị viên cục bộ nên có toàn quyền đối với máy cục bộ cụ thể đó giống như root Linux.
hkkhkhhk

2
@hkkhkhhk - ngay cả root trong Linux cũng có giới hạn. :) Nếu bạn đang sử dụng một sản phẩm quản lý tập trung như Puppet hoặc Chef, họ sẽ tiếp tục đưa ra các chính sách của mình và hoàn nguyên các thay đổi được thực hiện bởi tài khoản root cục bộ, giống như chính sách nhóm. Thiết kế này có chủ ý - nó buộc mọi người phải sử dụng các phương pháp có thể mở rộng.
Tim Brigham

Nhưng với tư cách là root Linux, tôi luôn có thể nói với Puppet cho GTFO nếu tôi cần;). Ý tôi là cấu hình cục bộ luôn đập từ xa (nghĩ xác thực NIS + hoặc LDAP). Tất cả các con rối deamon đang làm về cơ bản là đẩy ra các cấu hình được áp dụng cục bộ.
hkkhkhhk

11
@hkkhkhhk - Đây không phải là một thiết kế "ngu ngốc". Một quản trị viên tên miền luôn vượt qua quản trị viên địa phương. Đó là toàn bộ vấn đề.

1
Để thêm vào nhận xét của hkkhkhhk: Nếu bạn là quản trị viên địa phương và bạn không muốn bị quản trị viên tên miền thổi phồng, bạn có quyền rời khỏi miền. Tuy nhiên, bạn không có quyền ghi đè các quy tắc của miền được quy định bởi chính sách nhóm. (Chà, bạn có, nhưng chỉ bằng cách hack như được mô tả trong câu trả lời.)
Martin Liversage

18

Tôi đã giải quyết vấn đề này bằng cách tạo tập lệnh ghi đè các chính sách tôi không muốn trong sổ đăng ký (bạn có thể sử dụng lệnh "REG" trong tập lệnh bó). Tập lệnh này có thể được thiết lập để chạy bằng Trình lập lịch tác vụ, ngay sau khi máy khách Chính sách nhóm hoàn thành việc áp dụng chính sách, bằng cách sử dụng "Trên một sự kiện" làm trình kích hoạt.

Trình kích hoạt sự kiện tốt nhất mà tôi đã tìm thấy là Nhật ký: Microsoft-Windows-GroupPolicy / Toán tử, Nguồn: GroupPolicy và ID sự kiện: 8004, nhưng bạn có thể kiểm tra nhật ký trình xem sự kiện để biết thêm một số khả năng.


1
Anh bạn là anh hùng của tôi. Mọi người đừng quên rằng nếu bạn đang sửa đổi các khóa registry (như đối với tường lửa windows) thì bạn cần khởi động lại dịch vụ được đề cập để nhận các thay đổi của bạn.
brakertech

1

Một giải pháp tiềm năng, sử dụng Windows 10 Enterprise. Tôi đã không thử nó trong một môi trường miền. Tôi đã thử nghiệm nó tại địa phương, và nó ngăn không cho hoạt c:\gpupdate /forceđộng hoàn toàn. Nếu tôi hiểu cơ chế chính xác, tôi cho rằng điều này sẽ phá vỡ một thành phần nền tảng và do đó đảm bảo tỷ lệ thành công của người dùng là 100%. Tôi đã sử dụng một công cụ cho phép tôi chạy nhị phân với quyền của TrustedInstaller / System. Sordum PowerRuntrong trường hợp của tôi. Nhị phân mà tôi đã chạy với các quyền nâng cao này là "services.msc". Sau đó tôi đã dừng (nếu bắt đầu) và bị vô hiệu hóa Group Policy Client(tên dịch vụ gpsvc:). Tại thời điểm này c:\gpupdate /forcekhông còn hoạt động. Tôi không tham gia vào một tên miền, nhưng loại khởi động bị vô hiệu hóa vẫn tồn tại thông qua khởi động lại. Vì vậy, ý tưởng là, bạn hoàn nguyên / thay đổi / ghi đè / bất kỳ chính sách nhóm nào được kế thừa từ bộ điều khiển miền,gpsvcdịch vụ trước khi một gpupdateđám cháy tự động tắt. Hầu hết đây là lý thuyết của tôi, nhưng tôi thích giải pháp này nếu nó hoạt động, bởi vì tôi chủ quan cảm thấy nó có mức độ từ chối hợp lý cao. "uhh .. phải là ram đi xấu, bit flippin và không có gì"

Chỉnh sửa: Đã tìm thấy một sự cố, tường lửa sẽ tự tắt nếu gpsvcbị tắt: |


-3

Xóa nó khỏi miền ... làm bất cứ điều gì bạn cần làm cho máy sau đó thêm lại. tùy thuộc vào cách GPO của bạn được thiết lập, điều này hoạt động trong hầu hết các tình huống. Dù bằng cách nào tôi cũng sẽ điều hành nó bởi mafia IA và nhận được một cái gì đó bằng văn bản nêu rõ bất cứ điều gì bạn làm đều được ủy quyền. Đặc biệt là xem xét trong hầu hết các tình huống vi phạm an ninh như một sysadmin có thể dẫn đến chấm dứt ngay lập tức.


2
Điều này có rất ít cơ hội làm việc. Lần tiếp theo đồng bộ hóa chính sách nhóm, mọi thứ lại thay đổi.
mstaessen
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.