Posso sostituire i criteri di gruppo del dominio con i criteri di gruppo locali come amministratore locale?


24

Sto cercando di fornire alcuni laptop con custodia speciale. Vorrei creare un account ospite locale. Va bene, ma quando provo a crearlo ho richiesto che la mia password ospite non soddisfacesse i requisiti di complessità.

Ho provato a modificare la politica di sicurezza locale per cambiare la complessità, ma questo è disattivato. È possibile sovrascrivere la politica del dominio con locale?

Sì, so di poter scegliere una password più lunga ma non è questo il punto. Voglio sapere come sovrascrivere la politica del dominio in caso di necessità in futuro.

Risposte:


24

Esistono sempre modi per aggirare i criteri centrali se si dispone dell'accesso di amministratore locale: almeno è possibile apportare le modifiche localmente al registro e hackerare le impostazioni di sicurezza in modo che non possano essere aggiornate dall'agente dei criteri di gruppo - ma non è " È il modo migliore di andare. Devo ammettere di averlo fatto 10 anni fa .. ma davvero .. non farlo. Ci sono risultati imprevisti in molti casi.

Vedi questo articolo technet . L'ordine per l'applicazione della politica è efficace:

  1. Locale
  2. Posto
  3. Dominio
  4. OU

Le politiche successive sovrascriveranno quelle precedenti.

La soluzione migliore è quella di creare un gruppo di computer e utilizzare quel gruppo per escludere i computer personalizzati dalla politica di complessità della password o assemblare una nuova politica che sovrascriverà queste impostazioni predefinite, filtrata per applicarsi solo a questo gruppo.


4
Grazie. Molto informativo. Questo è molto stupido però. Un amministratore locale dovrebbe avere il potere completo su quel particolare computer locale proprio come il root di Linux.
hkkhkhhk,

2
@hkkhkhhk - anche il root in Linux ha dei limiti. :) Se stai utilizzando un prodotto di gestione centralizzata come Puppet o Chef, continueranno a pubblicare le loro politiche e a ripristinare le modifiche apportate dall'account di root locale, proprio come le politiche di gruppo. Il design è intenzionale: costringe la gente a usare metodi scalabili.
Tim Brigham,

Ma come root di Linux posso sempre dire a Puppet di GTFO se ne ho bisogno;). Quello che voglio dire è che la configurazione locale batte sempre in remoto (pensa all'autenticazione NIS + o LDAP). Tutto ciò che il pupazzo fantoccio sta facendo è fondamentalmente espellere le configurazioni che vengono applicate localmente.
hkkhkhhk,

11
@hkkhkhhk - Non è un design "stupido". Un amministratore di dominio supera sempre l'amministratore locale. Questo è il punto.

1
Per aggiungere al commento di hkkhkhhk: Se sei un amministratore locale e non ti piace essere superato dall'amministratore del dominio, hai il potere di lasciare il dominio. Tuttavia, non hai il potere di sovrascrivere le regole del dominio stabilite dai criteri di gruppo. (Beh, sì, ma solo tramite l'hacking come descritto nella risposta.)
Martin Liversage,

18

Ho risolto il problema creando uno script che sovrascrive le politiche che non voglio nel registro (è possibile utilizzare il comando "REG" in uno script batch). Questo script può essere impostato per essere eseguito utilizzando l'Utilità di pianificazione, immediatamente dopo che il client Criteri di gruppo ha terminato l'applicazione del criterio, utilizzando "Su un evento" come trigger.

Il miglior trigger di eventi che ho trovato è Log: Microsoft-Windows-GroupPolicy / Operational, Fonte: GroupPolicy e ID evento: 8004, ma è possibile controllare i registri del visualizzatore eventi per alcune ulteriori possibilità.


1
Amico, sei il mio eroe. La gente non dimentica che se si stanno modificando le chiavi di registro (come per il firewall di Windows), è necessario riavviare il servizio in questione affinché raccolga le modifiche.
Brakertech,

1

Una potenziale soluzione, utilizzando Windows 10 Enterprise. Non l'ho testato in un ambiente di dominio. L'ho provato localmente e ha impedito c:\gpupdate /forcedi funzionare completamente. Se comprendo correttamente il meccanismo, presumo che questo romperà un componente di base e quindi garantirà all'utente un tasso di successo del 100%. Ho usato uno strumento che mi consente di eseguire binari con l'autorizzazione TrustedInstaller / System. Sordum PowerRunnel mio caso. Il binario che ho eseguito con queste autorizzazioni elevate era "services.msc". Ho quindi interrotto (se avviato) e disabilitato Group Policy Client(nome del servizio:) gpsvc. È a questo punto che c:\gpupdate /forcenon ha più funzionato. Non sono iscritto a un dominio, ma il tipo di avvio disabilitato è persistito attraverso i riavvii. Quindi l'idea è di ripristinare / modificare / sovrascrivere / qualunque politica di gruppo ereditata dai controller di dominio,gpsvcservizio prima che un altro gpupdateincendio automatico si spenga. La maggior parte di questa è la mia teoria, ma mi piace questa soluzione se funziona, perché soggettivamente sento che ha un alto livello di negabilità plausibile. "uhh .. deve essere il montone che va male, lanciando bit e quant'altro"

Modifica: ha trovato una stranezza, il firewall si spegne automaticamente se gpsvcè disabilitato: |


-3

Rimuovilo dal dominio ... fai tutto ciò che devi fare sulla macchina, quindi aggiungilo di nuovo. a seconda di come è impostato il tuo oggetto Criteri di gruppo, questo funziona nella maggior parte delle situazioni. Ad ogni modo lo farei da parte della mafia IA e otterrei qualcosa per iscritto affermando che qualsiasi cosa tu sia autorizzata. Soprattutto se si considera che nella maggior parte dei casi una violazione della sicurezza come amministratore di sistema può comportare la risoluzione immediata.


2
Questo ha poche possibilità di lavorare. La prossima volta che viene eseguita la sincronizzazione dei criteri di gruppo, tutto viene nuovamente modificato.
mstaessen,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.