Невозможно отключить наследование групповой политики от домена
На работе мой компьютер (Windows 10) является частью локального домена.
Я добавил несколько локальных групповых политик и, заметив, что они не применяются, запустил gpresult /H gp_report.html и он вернулся:
ИНФОРМАЦИЯ: у пользователя нет данных RSoP.
После запуска gpupdate /force Я обнаружил, что файл на \\[domainname.local]\sysvol\[domainname.local]\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini некоторое время назад был поврежден из-за атаки программы-вымогателя.
Пока заменил файл на чистую копию, а после gpupdate /force моя политика работает. Но мне интересно, могу ли я и как отключить политики домена, так что применяются только локальные политики, а мой компьютер по-прежнему подключен к домену.
Я установил Инструменты удаленного администрирования сервера чтобы попытаться описанный процесс Вот (отключить наследование объектов групповой политики), но при запуске gpmc.msc Я получаю сообщение об ошибке:
Указанный домен либо не существует, либо с ним невозможно связаться.
Я могу нажать "Выберите другой контроллер домена"и два контроллера домена перечислены, но при выборе любого из них загружается пустое дерево.
Также пробовал Set-GPinheritance -Target "dc=[domainname.local]" -IsBlocked Yes согласно этому ссылка но он возвращается:
Set-GPinheritance: указанный домен либо не существует, либо с ним невозможно связаться. (Исключение из HRESULT: 0x8007054B)
[TL; DR] На данный момент в растерянности. Я хочу отключить унаследованные групповые политики, оставаясь подключенным к домену. Но мои попытки пока не увенчались успехом. Это можно сделать?
Примечание: Чтобы получить ответы, предположите, что никакая локальная политика не будет работать (как если бы я не исправлял политики сервера домена).
Спасибо.
Я обнаружил, что проходя мимо -Server Параметр командлета PowerShell заставляет его работать. Однако бег Set-GPinheritance -Target "dc=[domainname.local]" -IsBlocked Yes не исправил мою неработающую проблему с местной политикой.
Итак, я выполнил перечисленные ниже шаги из PowerShell как администратор:
(Get-GPInheritance -Target "dc=[domainname],dc=local" -Server "[servername]").GpoLinks | foreach-object {echo $_}
Это вернет список, подобный следующему:
Обратите внимание на GpoId свойство. Теперь запустите:
Set-GPLink -Guid "[GpoId from previous step]" -Target "dc=[domainname],dc=local" -LinkEnabled No -Server "[servername]"
После этого бег gpupdate.exe /force работает правильно.
Ссылки:
- Set-GPLink и Модуль GroupPolicy (Документы Microsoft)
Кажется, у вас есть другая проблема: ваша политика домена по умолчанию кажется неработающей, если ваша консоль пуста, вам придется сбросить свой GPO. Есть резервная копия? (или вы не админ домена?)
dcgpofix /ignoreschema /target:Domain
Политика домена по умолчанию включена по умолчанию для всех компьютерных объектов, но она устанавливает только параметр пароля и тому подобное.
Блокирование наследования от OU - допустимый способ сделать это, поэтому я думаю, что у вас есть повреждение в папке вашей политики SYSVOL.
Вы можете отключить фоновое обновление - через gpedit.msc, Конфигурация компьютера -> Административные шаблоны -> Система -> Групповая политика. Установите для параметра Отключить фоновое обновление групповой политики значение Включено.
Кроме того, вы можете удалить элементы из папок политик в разделах HKCU / HKLM Software \ Policies и HKCU / HKLM Software / Microsoft / Windows / CurrentVersion / Policies и установить для ключа права доступа «Чтение» для любых учетных записей, перечисленных с более высоким значением.