web-dev-qa-db-fra.com

Puis-je remplacer la stratégie de groupe de domaine par une stratégie de groupe locale en tant qu'administrateur local?

J'essaye de fournir quelques ordinateurs portables spéciaux. Je souhaite créer un compte invité local. C'est bien, mais lorsque j'essaie de le créer, j'ai demandé que mon mot de passe invité ne réponde pas aux exigences de complexité.

J'ai essayé de modifier la politique de sécurité locale pour changer la complexité, mais cela est grisé. Est-il possible de remplacer la stratégie de domaine par locale

Oui, je sais que je peux choisir un mot de passe plus long mais ce n'est pas la question. Je veux savoir comment remplacer la stratégie de domaine au cas où j'en aurais besoin à l'avenir.

25
hkkhkhhk

Il y a toujours moyen de pirater les stratégies centrales si vous avez un accès administrateur local - au minimum, vous pouvez apporter vos modifications localement au registre et pirater les paramètres de sécurité afin qu'ils ne puissent pas être mis à jour par l'agent de stratégie de groupe - mais ce n'est pas le cas '' t la meilleure façon de procéder. J'admets l'avoir fait il y a 10 ans ... mais vraiment ... non. Il y a des résultats imprévus dans de nombreux cas.

Voir cet article technet . L'ordonnance d'application de la politique est effectivement:

  1. Local
  2. Site
  3. Domaine
  4. OU

Les stratégies ultérieures remplaceront les précédentes.

Le mieux est de créer un groupe d'ordinateurs et d'utiliser ce groupe pour exclure vos ordinateurs personnalisés de la stratégie de complexité des mots de passe ou assembler une nouvelle stratégie qui remplacera ces valeurs par défaut, filtrée pour ne s'appliquer qu'à ce groupe.

25
Tim Brigham

J'ai travaillé autour de cela en créant un script qui écrase les politiques que je ne veux pas dans le registre (vous pouvez utiliser la commande "REG" dans un script batch). Ce script peut être configuré pour s'exécuter à l'aide du Planificateur de tâches, immédiatement après que le client de stratégie de groupe a fini d'appliquer la stratégie, en utilisant "Sur un événement" comme déclencheur.

Le meilleur déclencheur d'événement que j'ai trouvé est Journal: Microsoft-Windows-GroupPolicy/Operational, Source: GroupPolicy et ID d'événement: 8004, mais vous pouvez consulter les journaux de l'Observateur d'événements pour quelques possibilités supplémentaires.

20
Aaron

Une solution potentielle, utilisant Windows 10 Enterprise. Je ne l'ai pas testé dans un environnement de domaine. Je l'ai testé localement et il a empêché c:\gpupdate /force de travailler entièrement. Si je comprends bien le mécanisme, je présume que cela cassera un composant de base et garantira donc à l'utilisateur un taux de réussite de 100%. J'ai utilisé un outil qui me permet d'exécuter des binaires avec les droits TrustedInstaller/System. Sordum PowerRun dans mon cas. Le binaire que j'ai exécuté avec ces autorisations élevées était "services.msc". J'ai ensuite arrêté (si démarré) et désactivé Group Policy Client (nom du service: gpsvc). C'est à ce stade que c:\gpupdate /force ne fonctionnait plus. Je ne suis pas associé à un domaine, mais le type de démarrage désactivé a persisté lors des redémarrages. L'idée est donc de rétablir/modifier/remplacer/quelles que soient les stratégies de groupe héritées des contrôleurs de domaine, puis de désactiver le service gpsvc avant qu'un autre gpupdate automatisé ne se déclenche. La plupart de ceci est ma théorie, mais j'aime cette solution si elle fonctionne, car je pense subjectivement qu'elle a un haut niveau de déni plausible. "euh ... ça doit être le bélier qui va mal, des bouts tournants et tout le reste"

Edit: A trouvé une bizarrerie, le pare-feu s'éteint si gpsvc est désactivé: |

1
meffect