Bisakah saya mengganti kebijakan grup domain dengan kebijakan grup lokal sebagai admin lokal?

24

Saya mencoba menyediakan beberapa laptop case khusus. Saya ingin membuat akun tamu lokal. Tidak apa-apa tetapi ketika saya mencoba untuk membuatnya saya diminta kata sandi tamu saya tidak memenuhi persyaratan kompleksitas.

Saya mencoba mengedit kebijakan keamanan lokal untuk mengubah kerumitan tetapi ini tidak jelas. Apakah mungkin untuk menimpa kebijakan domain dengan lokal?

Ya, saya tahu saya bisa memilih kata sandi yang lebih panjang tetapi bukan itu intinya. Saya ingin tahu cara menimpa kebijakan domain jika saya perlu di masa mendatang.

windows active-directory group-policy hkkhkhhk
sumber

Jawaban:

24

Selalu ada cara untuk meretas kebijakan sentral jika Anda memiliki akses admin lokal - minimal Anda dapat membuat perubahan secara lokal ke registri dan meretas pengaturan keamanan sehingga tidak dapat diperbarui oleh agen kebijakan grup - tetapi tidak t cara terbaik untuk pergi. Saya akui melakukannya 10 tahun lalu .. tapi sungguh .. tidak. Ada banyak hasil yang tidak terduga dalam banyak kasus.

Lihat artikel technet ini. Urutan untuk aplikasi kebijakan secara efektif:

  1. Lokal
  2. Situs
  3. Domain
  4. OU

Kebijakan selanjutnya akan menimpa yang sebelumnya.

Taruhan terbaik Anda adalah membuat grup komputer dan menggunakan grup itu untuk mengecualikan komputer khusus Anda dari kebijakan kompleksitas kata sandi atau menyusun kebijakan baru yang akan menimpa default ini, difilter agar hanya berlaku untuk grup ini.

Tim Brigham
sumber
4
Terima kasih. Sangat informatif. Itu sangat bodoh. Admin lokal harus memiliki kekuatan penuh atas mesin lokal tertentu seperti Linux root.
hkkhkhhk
2
@hkkhkhhk - bahkan root di Linux memiliki batasan. :) Jika Anda menggunakan produk manajemen terpusat seperti Puppet atau Chef, mereka akan terus mengeluarkan kebijakan mereka dan mengembalikan perubahan yang dibuat oleh akun root lokal, sama seperti kebijakan grup. Desainnya disengaja - memaksa orang untuk menggunakan metode scalable.
Tim Brigham
Tetapi sebagai root Linux saya selalu dapat memberitahu Wayang ke GTFO jika saya perlu;). Yang saya maksud adalah konfigurasi lokal selalu berdetak jauh (pikirkan otentikasi NIS + atau LDAP). Semua yang dilakukan oleh boneka wayang pada dasarnya mendorong konfigurasi yang diterapkan secara lokal.
hkkhkhhk
11
@hkkhkhhk - Ini bukan desain "bodoh". Admin domain selalu mengalahkan admin lokal. Itulah intinya.
1
Untuk menambahkan komentar hkkhkhhk: Jika Anda adalah admin lokal dan Anda tidak suka dikalahkan oleh admin domain, Anda memiliki kekuatan untuk meninggalkan domain. Namun, Anda tidak memiliki kekuatan untuk mengesampingkan aturan domain yang ditetapkan oleh kebijakan grup. (Ya, sudah, tetapi hanya dengan meretas seperti dijelaskan dalam jawaban.)
Martin Liversage
18

Saya telah mengatasi ini dengan membuat skrip yang menimpa kebijakan yang tidak saya inginkan dalam registri (Anda dapat menggunakan perintah "REG" dalam skrip batch). Script ini dapat diatur untuk dijalankan menggunakan Penjadwal Tugas, segera setelah klien Kebijakan Grup selesai menerapkan kebijakan, dengan menggunakan "Pada suatu acara" sebagai pemicunya.

Pemicu acara terbaik yang saya temukan adalah Log: Microsoft-Windows-GroupPolicy / Operational, Sumber: GroupPolicy, dan ID Peristiwa: 8004, tetapi Anda dapat memeriksa log penampil acara untuk beberapa kemungkinan tambahan.

Harun
sumber
1
Bung kamu pahlawan saya. Orang-orang jangan lupa bahwa jika Anda memodifikasi kunci registri (seperti untuk windows firewall) yang Anda perlukan untuk me-restart layanan yang bersangkutan untuk mengambil perubahan Anda.
brakertech
1

Solusi potensial, menggunakan Windows 10 Enterprise. Saya belum mengujinya di lingkungan domain. Saya mengujinya secara lokal, dan itu mencegah c:\gpupdate /forcebekerja sepenuhnya. Jika saya memahami mekanismenya dengan benar, saya kira ini akan merusak komponen dasar, dan karenanya menjamin tingkat keberhasilan pengguna 100%. Saya menggunakan alat yang memungkinkan saya menjalankan binari dengan otoritas TrustedInstaller / Sistem. Sordum PowerRundalam hal ini. Biner yang saya jalankan dengan izin yang dinaikkan ini adalah "services.msc". Saya kemudian Berhenti (jika dimulai) dan dinonaktifkan Group Policy Client(nama layanan:) gpsvc. Pada titik inilah c:\gpupdate /forcetidak lagi berfungsi. Saya tidak bergabung dengan domain, tetapi jenis startup yang dinonaktifkan tetap bertahan melalui reboot. Jadi idenya adalah, Anda mengembalikan / mengubah / mengganti / kebijakan grup apa pun yang diwarisi dari pengontrol domain,gpsvclayanan sebelum yang lain otomatis gpupdatemati. Sebagian besar ini adalah teori saya, tetapi saya suka solusi ini jika berhasil, karena saya secara subyektif merasa memiliki tingkat penyangkalan yang masuk akal. "uhh .. pastilah ram yang rusak, bit flippin dan yang lainnya"

Sunting: Apakah menemukan kekhasan, firewall mati sendiri jika gpsvcdinonaktifkan: |

meffect
sumber
-3

Hapus dari domain ... lakukan apa yang perlu Anda lakukan pada mesin kemudian tambahkan kembali. tergantung bagaimana pengaturan GPO Anda, ini berfungsi di sebagian besar situasi. Either way saya akan menjalankannya oleh mafia IA dan mendapatkan sesuatu secara tertulis yang menyatakan apa pun yang Anda lakukan diizinkan. Terutama mengingat dalam kebanyakan situasi pelanggaran keamanan sebagai sysadmin dapat mengakibatkan penghentian segera.

Darrell
sumber
2
Ini memiliki peluang sangat kecil untuk bekerja. Lain kali sinkronisasi kebijakan grup dilakukan, semuanya berubah lagi.
mstaessen