Posso sostituire i criteri di gruppo del dominio con i criteri di gruppo locali come amministratore locale?

Sto cercando di fornire alcuni laptop con custodia speciale. Vorrei creare un account ospite locale. Va bene, ma quando provo a crearlo ho richiesto che la mia password ospite non soddisfacesse i requisiti di complessità.

Ho provato a modificare la politica di sicurezza locale per cambiare la complessità, ma questo è disattivato. È possibile sovrascrivere la politica del dominio con locale?

Sì, so di poter scegliere una password più lunga ma non è questo il punto. Voglio sapere come sovrascrivere la politica del dominio in caso di necessità in futuro.

Esistono sempre modi per aggirare i criteri centrali se si dispone dell'accesso di amministratore locale: almeno è possibile apportare le modifiche localmente al registro e hackerare le impostazioni di sicurezza in modo che non possano essere aggiornate dall'agente dei criteri di gruppo - ma non è " È il modo migliore di andare. Devo ammettere di averlo fatto 10 anni fa .. ma davvero .. non farlo. Ci sono risultati imprevisti in molti casi.

Vedi questo articolo technet . L'ordine per l'applicazione della politica è efficace:

1. Locale
2. Posto
3. Dominio
4. OU

Le politiche successive sovrascriveranno quelle precedenti.

La soluzione migliore è quella di creare un gruppo di computer e utilizzare quel gruppo per escludere i computer personalizzati dalla politica di complessità della password o assemblare una nuova politica che sovrascriverà queste impostazioni predefinite, filtrata per applicarsi solo a questo gruppo.

Ho risolto il problema creando uno script che sovrascrive le politiche che non voglio nel registro (è possibile utilizzare il comando "REG" in uno script batch). Questo script può essere impostato per essere eseguito utilizzando l'Utilità di pianificazione, immediatamente dopo che il client Criteri di gruppo ha terminato l'applicazione del criterio, utilizzando "Su un evento" come trigger.

Il miglior trigger di eventi che ho trovato è Log: Microsoft-Windows-GroupPolicy / Operational, Fonte: GroupPolicy e ID evento: 8004, ma è possibile controllare i registri del visualizzatore eventi per alcune ulteriori possibilità.

Una potenziale soluzione, utilizzando Windows 10 Enterprise. Non l'ho testato in un ambiente di dominio. L'ho provato localmente e ha impedito c:\gpupdate /forcedi funzionare completamente. Se comprendo correttamente il meccanismo, presumo che questo romperà un componente di base e quindi garantirà all'utente un tasso di successo del 100%. Ho usato uno strumento che mi consente di eseguire binari con l'autorizzazione TrustedInstaller / System. Sordum PowerRunnel mio caso. Il binario che ho eseguito con queste autorizzazioni elevate era "services.msc". Ho quindi interrotto (se avviato) e disabilitato Group Policy Client(nome del servizio:) gpsvc. È a questo punto che c:\gpupdate /forcenon ha più funzionato. Non sono iscritto a un dominio, ma il tipo di avvio disabilitato è persistito attraverso i riavvii. Quindi l'idea è di ripristinare / modificare / sovrascrivere / qualunque politica di gruppo ereditata dai controller di dominio,gpsvcservizio prima che un altro gpupdateincendio automatico si spenga. La maggior parte di questa è la mia teoria, ma mi piace questa soluzione se funziona, perché soggettivamente sento che ha un alto livello di negabilità plausibile. "uhh .. deve essere il montone che va male, lanciando bit e quant'altro"

Modifica: ha trovato una stranezza, il firewall si spegne automaticamente se gpsvcè disabilitato: |

Rimuovilo dal dominio ... fai tutto ciò che devi fare sulla macchina, quindi aggiungilo di nuovo. a seconda di come è impostato il tuo oggetto Criteri di gruppo, questo funziona nella maggior parte delle situazioni. Ad ogni modo lo farei da parte della mafia IA e otterrei qualcosa per iscritto affermando che qualsiasi cosa tu sia autorizzata. Soprattutto se si considera che nella maggior parte dei casi una violazione della sicurezza come amministratore di sistema può comportare la risoluzione immediata.