作为本地机器管理员,是否可以加入域但仍阻止应用组策略?我认为应该可以删除对注册表的所有写访问权限,例如,HKCU\Software\Policies但在实践中不确定这样做效果如何,或者是否已经有更好的方法来做到这一点。
要明确一点:我对 AD 管理员角度的答案不感兴趣,对自以为是的主观答案更不感兴趣。
答案1
如果您不想将某些策略应用于某台机器,则应使用 GPO 的现有过滤选项。试图绕过系统的工作方式并不是实现目标的正确方法。
答案2
如果您在 HKLM 中从 SYSTEM 帐户中移除权限,请为意外行为(如果不是彻底失败)做好准备。正如建议的那样,过滤是更好的方法。还有可能为此机器创建一个没有任何策略的 OU。第三个选项是创建一个包含您希望应用特定策略的计算机的组。然后,您将策略分配给该组,并且同一 OU 中不属于该组的任何计算机都不会获得该策略。