作为工作站管理员,我如何禁用该工作站上的组策略?
域管理员正在通过组策略提供垃圾信息,我希望它能被停止。
最后的滑稽举动:全局开启自动更新。结果:构建服务器开始进行错误的构建。
对此域管理员的教育是毫无希望的。
真的,除了登录之外,我不再信任该域名。
编辑:关于如何做到这一点的实际答案(由于问题已关闭,我无法添加答案):
- 在工作站上创建本地管理员帐户
- 登录本地管理员账户
- 取消加入域
- 运行 gpedit.msc 并取消设置所有域策略
- 将本地 shell 更改为 runas /netonly /user:domain\username explorer.exe
答案1
旧的“我们与他们”之争(或者更确切地说是旧的“开发人员与系统管理员”之争)。也许开发人员\管理层和系统管理人员\管理层之间需要进行对话。如果双方找不到共同努力实现公司共同目标的方法,就不会有赢家。技术最终无法解决本质上是政治和自我驱动的问题。
答案2
我的看法是:这不是关于从您的机器锁定域管理的技术问题。
这是关于您的团队与制定 AD 政策的团队之间的沟通(以及业务流程和政策以及服务或运营协议)。
您需要记录您对服务器的要求,然后确定这是否意味着没有全局更新,以及老板是否需要同意。同样,他们可能还有其他需要沟通的要求。必须有一个对双方都可行的妥协方案……双方只需要致力于找到它。
如果在达成可行的协议后,他们不断破坏协议,那么是时候要求他们对此进行举报并升级。您开始展示构建服务器损坏的影响,例如向老板投诉等。
答案3
好吧,我将告诉您颠覆组策略的最简单方法(我的经验范围包括 Windows XP、Vista 和 7,原则上它应该适用于所有系统)。
首先,你需要相关框的本地管理员权限。如果你不这样做,你必须先这样做(如果你被吼了,那不是我的问题)。
- 刻录 ISONT密码重置盘。我不解释那方面的说明,因为该实用程序提供的说明非常简单明了。
- 关闭计算机。
- 暂时断开以太网连接。
- 启动您的磁盘并重置本地管理员帐户,或任何具有管理员权限的本地帐户。
- 重新启动计算机。
现在,好玩的事情开始了。保持以太网连接断开。
- 重启后,登录刚刚重置密码的本地帐户。
- 移动组策略文件夹。将以下内容复制并粘贴到命令提示符中。
cmd /k move C:\Windows\System32\GroupPolicy GroupPolicy.arc - 现在重新启动机器。
现在,到目前为止,您已经清除了此框上的 GP 本地存储。现在,如果您重新连接,将发生的一切就是它肯定会在重新启动时重新应用。这就是问题所在,我的朋友。现在,要在这个难题中前进,您实际上只有两个选择:将计算机对象移动到不受所述 GPO 影响的 OU 或退出域。根据您在组织中的身份,如果您不是合适的人选,请期待某人的愤怒。因此,如果您决定退出,这意味着也失去了 AD 身份验证(但我确信您知道,请执行以下操作)。
3a. 从命令提示符中复制粘贴此命令以退出域。cmd /k wmic computersystem where name!=null call unjoindomainorworkgroup。 您可以使用 GUI 方式执行此操作,但我不喜欢这种方式。 如果成功,返回值将为 0。 4a. 重新连接以太网电缆并重新启动机器。
或者
3b. 将其移动到正确的 OU,而不会干扰策略。4b. 以太网时间,重新连接并重新启动。
现在,我不会解释 3b。如果您是管理员,知道自己在做什么,我就不需要解释了。如果您不知道,您可能一开始就不应该这样做。
答案4
获取您自己的 OU,然后编写您自己的策略来覆盖或阻止继承。
对于生产服务器,我基本上没有推荐的解决方案。(是的,你可以尝试禁用应用策略的 dll(和 Windows 文件保护等)等,但这似乎是不明智的)