作为本地管理员,我可以用本地组策略覆盖域组策略吗?

作为本地管理员,我可以用本地组策略覆盖域组策略吗?

我正在尝试配置几台特殊情况的笔记本电脑。我想创建一个本地访客帐户。这很好,但是当我尝试创建它时,我提示我的访客密码不符合复杂性要求。

我尝试编辑本地安全策略来更改复杂性,但该策略显示为灰色。是否可以使用本地策略覆盖域策略?

是的,我知道我可以选择更长的密码,但这不是重点。我想知道如何在将来需要时覆盖域策略。

答案1

如果您拥有本地管理员访问权限,那么总有办法绕过中央策略 - 至少您可以本地更改注册表并破解安全设置,这样它们就无法被组策略代理更新 - 但这不是最好的方法。我承认 10 年前我这样做过......但真的......不要这样做。在很多情况下都会产生意想不到的结果。

看到这个技术网政策实施的顺序实际上是:

  1. 当地的
  2. 地点
  3. 领域
  4. 欧亚

后续政策将覆盖先前的政策。

最好的办法是创建一个计算机组,并使用该组将您的自定义计算机从密码复杂性策略中排除,或者组建一个新策略来覆盖这些默认策略,并进行筛选以仅适用于该组。

答案2

我通过创建一个脚本来覆盖注册表中我不想要的策略(您可以在批处理脚本中使用“REG”命令)解决了这个问题。可以将此脚本设置为在组策略客户端完成应用策略后立即使用任务计划程序运行,方法是使用“发生事件时”作为触发器。

我发现的最佳事件触发器是日志:Microsoft-Windows-GroupPolicy/Operational、来源:GroupPolicy 和事件 ID:8004,但您可以检查事件查看器日志以了解一些其他可能性。

答案3

一种潜在的解决方案,使用 Windows 10 Enterprise。我还没有在域环境中测试过它。我在本地测试过它,但它c:\gpupdate /force完全无法工作。如果我正确理解了该机制,我推测这会破坏基础组件,因此可以保证用户 100% 的成功率。我使用了一个工具,它允许我以 TrustedInstaller/System 权限运行二进制文件。Sordum PowerRun在我的情况下。我使用这些提升的权限运行的二进制文件是“services.msc”。然后我停止(如果已启动)并禁用Group Policy Client(服务名称gpsvc:)。此时它c:\gpupdate /force不再起作用。我没有加入域,但禁用的启动类型在重新启动后仍然存在。所以这个想法是,您恢复/更改/覆盖/继承自域控制器的任何组策略,然后gpsvc在另一个自动gpupdate触发之前禁用该服务。这大部分是我的理论,但如果它有效,我喜欢这个解决方案,因为我主观上觉得它具有很高的可信度。“呃……一定是内存坏了,翻转位等等”

gpsvc编辑:确实发现了一个怪癖,如果禁用,防火墙会自动关闭:|

答案4

将其从域中删除...对机器进行任何您需要的操作,然后重新添加它。根据您的 GPO 设置方式,这在大多数情况下都有效。无论哪种方式,我都会通过 IA 黑手党来运行它,并获得书面说明您所做的事情是经过授权的。特别是考虑到在大多数情况下,作为系统管理员的安全违规行为可能会导致立即终止。

相关内容