Tidak dapat menonaktifkan warisan kebijakan grup dari domain

1

Di tempat kerja, komputer saya (Windows 10) adalah bagian dari domain lokal.

Saya menambahkan beberapa kebijakan grup lokal, dan setelah memperhatikan mereka tidak diterapkan, saya berlari gpresult /H gp_report.htmldan mengembalikan:

INFO: Pengguna tidak memiliki data RSoP.

Setelah berjalan gpupdate /forcesaya menemukan bahwa file di \\[domainname.local]\sysvol\[domainname.local]\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.inirusak karena serangan ransomware beberapa waktu lalu.

Untuk saat ini saya mengganti file dengan salinan bersih, dan setelah gpupdate /forcekebijakan saya berfungsi. Tapi saya bertanya-tanya apakah dan bagaimana saya bisa menonaktifkan kebijakan domain , sehingga hanya kebijakan lokal yang diterapkan, sementara PC saya masih terhubung ke domain.

Saya menginstal Alat Administrasi Server Jarak Jauh untuk mencoba proses yang diuraikan di sini (menonaktifkan warisan objek Kebijakan Grup), tetapi setelah diluncurkan gpmc.mscsaya mendapatkan kesalahan yang menyatakan:

Domain yang ditentukan tidak ada atau tidak dapat dihubungi.

Saya bisa mengklik " Pilih pengontrol domain yang berbeda " dan dua pengontrol domain terdaftar, tetapi memilih salah satu dari mereka memuat pohon kosong.

manajemen kebijakan grup - tangkapan layar

Juga mencoba Set-GPinheritance -Target "dc=[domainname.local]" -IsBlocked Yessesuai dengan referensi ini tetapi mengembalikan:

Set-GPinheritance: Domain yang ditentukan tidak ada atau tidak dapat dihubungi. (Pengecualian dari HRESULT: 0x8007054B)


[TL; DR] Saat ini bingung. Saya ingin menonaktifkan kebijakan grup bawaan sementara masih terhubung ke domain. Namun upaya saya sejauh ini gagal. Bisakah itu dilakukan?

Catatan: Untuk jawaban, asumsikan bahwa kebijakan lokal apa pun tidak akan berfungsi (seolah-olah saya belum memperbaiki kebijakan server domain).

Terima kasih.

Marc.2377
sumber
Anda harus dapat mengonfigurasi kebijakan lokal apa pun yang tidak dikonfigurasi di domain. Namun, kebijakan apa pun yang diberlakukan oleh domain, tidak dapat ditimpa oleh kebijakan lokal. Tidak masuk akal untuk menegakkan kebijakan lokal hanya jika Anda terhubung ke domain yang memiliki penegakan kebijakan diaktifkan.
Ramhound
@ marsh-goyangkan masih tidak ada yang baik, kesalahan yang sama. Saya berhasil mengubah pesan kesalahan dengan melewati -Server "[servername]". Sekarang ia mengembalikan "Sebuah referensi dikembalikan dari server. (Pengecualian dari HRESULT: 0x8007202B)" .
Marc.2377

Jawaban:

0

Anda dapat menonaktifkan refresh latar belakang - Melalui gpedit.msc, Konfigurasi Komputer -> Template Administratif -> Sistem -> Kebijakan Grup. Setel Matikan penyegaran latar belakang Kebijakan Grup ke Diaktifkan.

Selain itu, Anda dapat menghapus item dari folder Kebijakan di bawah HKCU / Perangkat Lunak HKLM \ Kebijakan dan Perangkat Lunak HKCU / HKLM / Microsoft / Windows / CurrentVersion / Kebijakan dan menetapkan izin pada tombol untuk 'Baca' untuk setiap akun yang terdaftar dengan lebih dari itu.

John Provencher
sumber
0

Anda tampaknya memiliki masalah lain, kebijakan domain default Anda tampaknya rusak jika konsol Anda kosong, Anda harus mengatur ulang GPO Anda. Punya cadangan? (atau Anda bukan admin domain?)

dcgpofix /ignoreschema /target:Domain

Kebijakan domain default diaktifkan secara default untuk semua objek komputer, tetapi hanya menetapkan opsi kata sandi dan semacamnya.

Memblokir warisan dari OU adalah cara yang sah untuk melakukannya, jadi saya pikir Anda mendapat korupsi di folder kebijakan SYSVOL Anda.

yagmoth555
sumber
Terima kasih. Saya bukan admin domain; dia sedang berlibur dan tidak akan ada selama seminggu lagi. Server domain memang salah, jadi saya bertanya-tanya apakah saya dapat menghapus tautan sehingga kebijakan lokal saya akan berfungsi.
Marc.2377
0

Saya menemukan bahwa meneruskan -Serverparameter ke cmdlet PowerShell membuatnya berfungsi. Namun, menjalankan Set-GPinheritance -Target "dc=[domainname.local]" -IsBlocked Yestidak memperbaiki masalah kebijakan lokal saya yang rusak.

Jadi saya mengambil langkah-langkah yang tercantum di bawah ini dari PowerShell sebagai admin:

(Get-GPInheritance -Target "dc=[domainname],dc=local" -Server "[servername]").GpoLinks | foreach-object {echo $_}

Ini akan mengembalikan daftar seperti berikut:

tangkapan layar dari PowerShell menampilkan daftar tautan kebijakan grup

Catat GpoIdproperti tersebut. Sekarang jalankan:

Set-GPLink -Guid "[GpoId from previous step]" -Target "dc=[domainname],dc=local" -LinkEnabled No -Server "[servername]"

Setelah itu, menjalankan gpupdate.exe /forceberfungsi dengan benar.


Referensi:

Marc.2377
sumber
Memblokir warisan di tingkat atas domain tidak akan melakukan apa-apa, karena tidak ada yang lebih tinggi untuk diblokir. Anda harus memblokirnya di OU tempat mesin Anda berada.
Harry Johnston
@ HarryJohnston saya tidak mengikuti. Bagaimanapun, idenya adalah mengkonfigurasi mesin lokal saya untuk tidak mewarisi kebijakan apa pun dari pengontrol domain (karena kebijakan DC rusak). Langkah-langkah yang saya sebutkan di atas berhasil; warisan sekarang ditampilkan Enabled: Falsedan kebijakan lokal saya berfungsi. Apakah saya melakukan kesalahan?
Marc.2377
Jika saya mengikuti langkah-langkah dalam jawaban Anda dengan benar, Anda telah menonaktifkan semua tautan kebijakan grup di domain, yang tentunya akan menghentikan kebijakan grup agar tidak berlaku. Perhatikan bahwa perubahan ini memengaruhi semua mesin di domain, bukan hanya mesin Anda. Komentar saya mencoba menjelaskan mengapa upaya pertama Anda (menggunakan Set-GPInheritance) tidak berhasil. Anda tampak bingung tentang warisan; mesin tidak "mewarisi" kebijakan dari domain, kebijakan diwarisi antara OU.
Harry Johnston
... memblokir pewarisan pada OU hanya memengaruhi kebijakan yang berasal dari tingkat atas di pohon, itu tidak memengaruhi kebijakan yang terkait dengan OU itu. Di tingkat atas domain, tidak ada kebijakan dari tingkat atas di pohon, jadi memblokir warisan tidak menghasilkan apa-apa.
Harry Johnston