Как я могу, как администратор рабочей станции, отключить групповую политику на этой рабочей станции?
Администратор домена загружает полный мусор через групповую политику, и я хочу, чтобы это остановилось.
Последняя выходка: глобальное включение автоматических обновлений. Результат: сервер сборки начал делать плохие сборки.
Образование этого Администратора домена - дело безнадежное.
На самом деле, я больше не доверяю домену, кроме логинов.
РЕДАКТИРОВАТЬ: Фактический ответ о том, как это сделать (я не могу добавить ответ, поскольку вопрос закрыт):
Старая битва «мы против них» (или, точнее, старая битва «разработчики против системных администраторов»). Может быть, здесь уместен разговор между персоналом разработки \ руководством и персоналом системного администрирования \ руководством. Победителей не может быть, если обе стороны не найдут способ работать вместе для достижения общих целей компании. Технологии в конечном итоге не могут исправить то, что по сути является политической проблемой, движимой эго.
Мое мнение: это не техническая проблема, связанная с блокировкой управления доменом с ваших машин.
Речь идет о взаимодействии (и бизнес-процессах и политиках и, возможно, соглашениях об обслуживании или эксплуатации) между вашей группой и любой группой, устанавливающей политики AD.
Вам необходимо задокументировать свои требования к серверу, а затем решить, означает ли это отсутствие глобальных обновлений, и это означает, что боссы должны согласиться с этим. Точно так же у них, вероятно, есть другие требования, которые им нужно сообщить. Должен быть компромисс, приемлемый для обеих сторон ... обе группы просто должны быть привержены его поиску.
Если после того, как существует работоспособное соглашение, они продолжают нарушать что-то в нарушение этого соглашения, то пришло время призвать их к этому и обострить ситуацию. Вы начинаете демонстрировать влияние поломки сервера сборки, например, жаловаться начальству и т. Д.
Что ж, я расскажу вам о самом простом способе подорвать групповую политику (мой опыт варьируется с Windows XP, Vista и 7, и в принципе он должен работать со всеми из них).
Прежде всего, вам понадобится права локального администратора на рассматриваемом ящике. Если вы этого не сделаете, вам придется сделать это в первую очередь (и если на вас кричат, это не моя проблема).
А теперь вот где начинается самое интересное. Держите это соединение Ethernet отключенным.
cmd /k move C:\Windows\System32\GroupPolicy GroupPolicy.arcИтак, вы очистили местный магазин GP на этом ящике. Теперь, если вы снова подключитесь, все, что произойдет, это то, что он обязательно будет повторно применен при перезагрузке. Это маринад, мой друг. Теперь, чтобы продвинуться вперед в этой головоломке, у вас есть только два варианта: переместить компьютерный объект в OU, где на него не влияют указанные GPO, или выйти из домена. В зависимости от того, кем вы являетесь в своей организации, ожидайте гнева от кого-то, если вы не тот парень. Итак, если вы решили разорвать соединение, это означает также теряет аутентификацию AD (но я уверен, что вы это знаете, сделайте следующее).
3а. Выйдите из домена, скопировав вставку из командной строки. cmd /k wmic computersystem where name!=null call unjoindomainorworkgroup. Вы можете сделать это через графический интерфейс, но я это ненавижу. В случае успеха возвращаемое значение будет 0. 4a. Подсоедините кабель Ethernet и перезагрузите машину.
или
3b. Переместите его в соответствующее подразделение, не вмешиваясь в политику. 4b. Время Ethernet, переподключение и перезагрузка.
Сейчас я не буду объяснять 3b. Если вы администратор и знаете, что делаете, мне не нужно объяснять это. Если вы этого не сделаете, вам, вероятно, не стоит этого делать.
Один из способов, который я видел, - это отключить «Вспомогательную службу NetBIOS TCP / IP». Причина, по которой это работает, заключается в том, что объекты групповой политики расположены в домене DNS, таком как «addomain.example.com», и без включения этой службы ваши локальные станции Windows не могут превратить его в IP-адрес для обработки объекта групповой политики. У этого есть и другие побочные эффекты, но, по крайней мере, вы все равно можете оставаться в домене и беспечно игнорировать сетевую политику.
Обратите внимание: это не останавливает применение GPO, но предотвращает их. от обновления. Чтобы удалить локальный кеш, у alharaka есть эта процедура.
О каких побочных эффектах идет речь? Если у вас все еще есть WINS-сервер, вы можете даже не заметить. Если у вас НЕТ WINS-сервера, доступ к рабочим станциям Windows за пределами подсети (например, к контроллерам домена для входа в систему) не будет работать. Возможно, вам придется прибегнуть к заполнению файла lmhosts для контроллеров домена, чтобы вы могли войти в систему.
Получите свое собственное подразделение, а затем напишите свои собственные политики для переопределения или блокировки наследования.
По сути, нет решения, которое я бы рекомендовал для производственного сервера. (да, вы можете обмануть себя, отключив политику, применяющую библиотеки DLL (и защиту файлов Windows и т.д.) и т.д., но это кажется неразумным)
Хорошо общайтесь, чтобы найти лучшую альтернативу.
Если вы начнете IT-войну, вы можете доверить администраторам выполнение административных действий ... например, фильтрацию адресов Mac, чтобы у вас не было интернета, пока вы не начнете хорошо играть.
Это может быть политика, но если бы он общался с вами, этой проблемы бы не было. Так что раздуть проблему, не отвечая на вопросы, не лучше.