У меня есть лабораторная среда, в которой у меня есть один домен в одном лесу. У меня есть образ Windows 7 для клиентов, который мне передала моя организация (я не создавал его, не совсем уверен, кто это сделал), и я обнаружил, что есть ряд элементов, которые пользователи (даже пользователи с правами администратора, даже пользователи с правами администратора домена) не могут быть изменены в среде Windows 7, включая, помимо прочего, доверенные сайты в IE, параметры электропитания (в частности, настройку, когда блокировать отображение) и т. д. Это основные два, на которые я хочу повлиять , но я получил сообщение о том, что «некоторые настройки контролирует ваш администратор ...», о котором я видел около миллиона сообщений.
Что я пробовал до сих пор - Групповые политики - Настройки реестра - Локальные политики безопасности - Разблокировка «скрытого» администратора и их использование - Добавление пользователей в «группу с ограниченным доступом»
Похоже, что все это не действует. Применяются групповые политики, и GPResult показывает то, что я ожидал. В качестве примера я вижу настраиваемый профиль мощности, который я применил в объекте групповой политики, и он даже устанавливает все параметры, как у меня, Кроме параметр «отключить отображение», который по-прежнему настроен на то, что было без моей политики, и по-прежнему неактивен, чтобы предотвратить изменение.
Могу ли я еще что-нибудь посмотреть, чтобы восстановить контроль над своими клиентскими машинами?
**** ОБНОВЛЕНИЕ **** Я не называл это раньше явно, но я переместил компьютер в новое подразделение, которое не наследует GPO, и, согласно предложению, я удалил машину из домена. Настройки остались на месте. Когда это не удалось, я снова включил локального администратора и вошел в систему, чтобы посмотреть, решит ли это проблему, но этого не произошло. Я с самого начала подозревал, что проблема была решена на уровне образа, поскольку все рабочие станции построены на одном образе и (как показано), похоже, это параметр, который не устанавливается ни доменом, ни игнорируется с помощью групповых политик ( по крайней мере, не так, как я знаю)
Настройки, которые вы "не можете изменить", которые дают вам some settings are controlled by your administrator message - это настройки, которые контролируются GPO.
«Исправление» включает в себя остановку объектов групповой политики, которые заставляют эти настройки не применяться к рассматриваемому компьютеру. Вы упомянули, что у вас есть права администратора домена, так что ...
[Если вы еще этого не сделали, вы захотите использовать RSAT.]
Что вам, вероятно, следует сделать, так это создать Testing OU в AD, используя Active Directory Users and Computers (% SystemRoot% \ system32 \ dsa.msc) и переместите на него этот компьютер. Затем, используя Group Policy Management (% SystemRoot% \ system32 \ gpmc.msc), вы хотите заблокировать наследование для этого подразделения. Поскольку вы только что создали его, в нем не должно быть никаких объектов групповой политики, связанных напрямую. Бегать gpupdate /force из командной строки, чтобы применить новые [отсутствие] GPO, и перезагрузитесь. После этого вы сможете изменить нужные параметры или протестировать объекты групповой политики на компьютере по своему усмотрению (путем создания и связывания их в созданном вами OU).
В качестве альтернативы, в качестве одноразового подхода вы всегда можете удалить машину из домена, что также предотвратит применение к ней GPO.
Я полагаю, вы также можете просто изменить / удалить рассматриваемые объекты групповой политики, но это глобальное изменение, которое будет применяться не только к вашей машине, поэтому будьте осторожны. Также отличный способ разозлить ваших администраторов AD, если они существуют, или узнать, почему профессиональный администратор должен обрабатывать вашу среду AD, если они не существуют.
РЕДАКТИРОВАТЬ: Как указал MDMarra, это не изменит волшебным образом [большую часть] настроек, применяемых GPO, но позволит вам изменить их на то, что вы хотите. Чтобы изменить их на то, что вы хотите, после того, как объекты групповой политики больше не применяются, нужно использовать GPEdit.msc для редактирования локальных политик или с помощью regedit для удаления следующих ключей, как предлагается здесь:
[HKEY_CURRENT_USER\Software\Policies\Microsoft]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]
(Извините, я сосредоточился на том, как «восстановить контроль» над доменом, и не думал об отмене примененных GPO.)
Если объекты групповой политики для этих параметров не определены в вашем домене, скорее всего, они установлены в локальной политике для образа.
Бегать gpedit.msc с локального компьютера и проверьте настройки там, держу пари, вы найдете то, что ищете.