Я пытаюсь подготовить несколько ноутбуков в специальном корпусе. Я хочу создать локальную гостевую учетную запись. Это нормально, но когда я пытаюсь создать его, я подсказал, что мой гостевой пароль не соответствует требованиям сложности.
Я попытался отредактировать локальную политику безопасности, чтобы изменить сложность, но она неактивна. Можно ли заменить политику домена на локальную?
Да, я знаю, что могу выбрать более длинный пароль, но дело не в этом. Я хочу знать, как переопределить политику домена, если мне это понадобится в будущем.
Всегда есть способ обойти центральные политики, если у вас есть доступ локального администратора - как минимум, вы можете внести изменения локально в реестр и взломать настройки безопасности, чтобы они не могли быть обновлены агентом групповой политики, но это не так. т лучший способ пойти. Я признаю, что делал это 10 лет назад ... но на самом деле ... нет. Во многих случаях есть непредвиденные результаты.
Посмотри это технет статья. Фактический порядок применения политики:
Более поздние политики перезапишут предыдущие.
Лучше всего создать группу компьютеров и использовать эту группу, чтобы либо исключить пользовательские компьютеры из политики сложности пароля, либо создать новую политику, которая переопределит эти значения по умолчанию, отфильтрованных, чтобы применяться только к этой группе.
Я работал над этим, создав сценарий, который перезаписывает политики, которые мне не нужны в реестре (вы можете использовать команду «REG» в пакетном сценарии). Этот сценарий можно настроить для запуска с помощью Планировщика задач сразу после того, как клиент групповой политики завершит применение политики, используя «При событии» в качестве триггера.
Лучшим триггером событий, который я обнаружил, является Log: Microsoft-Windows-GroupPolicy / Operational, Source: GroupPolicy и Event ID: 8004, но вы можете проверить журналы средства просмотра событий для некоторых дополнительных возможностей.
Возможное решение с использованием Windows 10 Корпоративная. Я не тестировал его в доменной среде. Я тестировал это локально, и это предотвратило c:\gpupdate /force от работы целиком. Если я правильно понимаю механизм, я полагаю, это сломает фундаментальный компонент и, следовательно, гарантирует пользователю 100% успех. Я использовал инструмент, который позволяет мне запускать двоичные файлы с полномочиями TrustedInstaller / System. Sordum PowerRun в моем случае. Бинарный файл, который я запускал с этими повышенными разрешениями, был «services.msc». Затем я остановился (если был запущен) и отключил Group Policy Client (наименование услуги: gpsvc). Именно в этот момент c:\gpupdate /force больше не функционировал. Я не присоединился к домену, но отключенный тип запуска сохранялся после перезагрузки. Итак, идея в том, что вы возвращаете / меняете / переопределяете / любые групповые политики, унаследованные от контроллеров домена, а затем отключаете gpsvc сервис перед другим автоматизированным gpupdate стреляет. По большей части это моя теория, но мне нравится это решение, если оно работает, потому что я субъективно чувствую, что оно имеет высокий уровень правдоподобного отрицания. "эээ ... должно быть, барашек испортился, куски флиппина и все такое"
Изменить: обнаружил причуду, брандмауэр отключается, если gpsvc отключен: |
Удалите его из домена ... сделайте все, что вам нужно, с машиной, а затем снова добавьте его. в зависимости от того, как настроен ваш GPO, это работает в большинстве ситуаций. В любом случае, я бы запустил его через мафию IA и получил бы что-нибудь в письменном виде, в котором говорилось бы, что все ваши действия разрешены. Особенно с учетом того, что в большинстве ситуаций нарушение безопасности системного администратора может привести к немедленному завершению работы.