我有一个实验室环境,其中有一个域位于一个林中。我有一个 Windows 7 客户端映像,这是我的组织提供给我的(我没有构建它,也不完全确定是谁构建的),我发现在 Windows 7 环境中有许多项目用户(甚至管理员用户,甚至域管理员用户)无法更改,包括但不限于 IE 中的受信任站点、电源选项(具体来说,配置何时锁定显示)等。这是我想要影响的主要两个,但我看到了一条消息“某些设置由您的管理员控制...”,我已经看到了大约一百万条关于它的帖子。
到目前为止我尝试过的 - 组策略 - 注册表设置 - 本地安全策略 - 解锁“隐藏”管理员并使用它们 - 将用户添加到“受限组”
这些似乎都没有效果。组策略已应用,GPResult 显示的结果与我预期的一样。例如,我看到了我在 GPO 中应用的自定义电源配置文件,它甚至设置了我拥有的所有设置,除了“禁用显示”设置,仍然设置为没有我的政策时的状态,并且仍然显示为灰色以防止更改。
还有什么我可以做的来重新获得对客户端机器的控制权?
**** 更新 **** 我之前没有明确指出,但我已将计算机移至不继承 GPO 的新 OU,并根据建议从域中移除了该计算机。设置保持不变。当此操作失败时,我重新启用了本地管理员并以相同的身份登录以查看是否能解决问题,但并没有。我从一开始就怀疑问题出在图像级别,因为所有工作站都是基于同一图像构建的,并且(如演示所示)它似乎既不是由域设置的设置,也不是通过组策略忽略的设置(至少就我所知不是)
答案1
如果您的域中未定义这些设置的 GPO,则很可能它们是在图像的本地策略中设置的。
从本地机器运行gpedit.msc并检查那里的设置,我相信你会找到你要找的东西。
答案2
向您显示该消息的“无法更改”的设置some settings are controlled by your administrator是由 GPO 控制的设置。
“纠正”此问题需要阻止强制这些设置的 GPO 应用于相关计算机。您提到您拥有域管理员权限,因此...
[如果你还没有这样做,你会想要使用远程医疗。
您可能应该做的是使用Active Directory Users and Computers(%SystemRoot%\system32\dsa.msc) 在 AD 中创建一个测试 OU,并将此计算机移入其中。然后,使用Group Policy Management(%SystemRoot%\system32\gpmc.msc),您需要阻止对该 OU 的继承。由于您刚刚创建它,因此不应该有任何 GPO 直接链接到它。gpupdate /force从命令行运行以应用新的 [缺少] GPO,然后重新启动。然后,您可以自由更改所需的设置,或根据需要在计算机上测试 GPO(通过在您创建的 OU 中创建和链接它们)。
或者,作为一次性方法,您可以始终从域中删除该机器,这也会阻止 GPO 应用于该机器。
我想你也可以直接更改/删除有问题的 GPO,但这是一个全局更改,不仅适用于你的机器,所以要小心。这也是激怒你的 AD 管理员(如果存在)的好方法,或者发现为什么应该让专业管理员来处理你的 AD 环境(如果不存在)。
编辑:正如 MDMarra 指出的那样,这不会神奇地逆转 GPO 应用的 [大多数] 设置,但可以让您将其更改为您想要的设置。在 GPO 不再适用后,将它们更改为您想要的设置,只需使用GPEdit.msc编辑本地策略,或使用 regedit 删除以下键即可,正如这里建议的那样:
[HKEY_CURRENT_USER\Software\Policies\Microsoft]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]
(抱歉,我专注于如何从域中“重新获得控制权”,而没有考虑撤销已应用的 GPO。)