web-dev-qa-db-ja.com

ローカル管理者として、ドメイングループポリシーをローカルグループポリシーで上書きできますか?

いくつかの特殊なケースのラップトップをプロビジョニングしようとしています。ローカルのゲストアカウントを作成します。それで結構ですが、作成しようとしたときに、ゲストパスワードが複雑さの要件を満たしていないことを確認しました。

ローカルセキュリティポリシーを編集して複雑さを変更しようとしましたが、これはグレー表示されます。ローカルでドメインポリシーを上書きすることは可能ですか?

はい、もっと長いパスワードを選択できることはわかっていますが、それは重要ではありません。将来必要になる場合に備えて、ドメインポリシーを上書きする方法を知りたい。

25
hkkhkhhk

ローカル管理者のアクセス権がある場合は、常に中央ポリシーをハッキングする方法があります-少なくとも、ローカルでレジストリを変更してセキュリティ設定をハックして、グループポリシーエージェントが更新できないようにすることができますが、そうではありません。行くための最良の方法。私はそれを10年前に行うことを認めます。多くの場合、予想外の結果があります。

この technet の記事を参照してください。ポリシー適用の順序は効果的です。

  1. 地元
  2. 地点
  3. ドメイン
  4. OU

後のポリシーは前のポリシーを上書きします。

最善の策は、コンピューターグループを作成し、そのグループを使用して、パスワードの複雑さのポリシーからカスタムコンピューターを除外するか、このグループにのみ適用されるようにフィルター処理されたこれらのデフォルトを上書きする新しいポリシーを作成することです。

25
Tim Brigham

レジストリで不要なポリシーを上書きするスクリプトを作成して、これを回避しました(バッチスクリプトで「REG」コマンドを使用できます)。このスクリプトは、グループポリシークライアントがポリシーの適用を完了した直後に、 "イベント時"をトリガーとして使用して、タスクスケジューラを使用して実行するように設定できます。

私が見つけた最高のイベントトリガーは、ログ:Microsoft-Windows-GroupPolicy/Operational、ソース:GroupPolicy、およびイベントID:8004ですが、イベントビューアのログでその他の可能性を確認できます。

20
Aaron

Windows 10 Enterpriseを使用する潜在的なソリューション。ドメイン環境ではテストしていません。ローカルでテストしたところ、c:\gpupdate /force完全に機能しない。メカニズムを正しく理解していれば、これが基盤コンポーネントを壊すと思います。したがって、ユーザーに100%の成功率を保証します。 TrustedInstaller/System権限でバイナリを実行できるツールを使用しました。 Sordum PowerRun 私の場合。これらの昇格された権限で実行したバイナリは「services.msc」でした。次に停止し(開始した場合)、無効にしましたGroup Policy Client(サービス名:gpsvc)。この時点でc:\gpupdate /forceは機能しなくなりました。ドメインに参加していませんが、無効にされたスタートアップの種類は再起動後も持続しました。つまり、ドメインコントローラから継承されたグループポリシーを元に戻す、変更する、上書きする、または変更してから、別の自動化されたgpsvcが起動する前にgpupdateサービスを無効にするという考え方です。これのほとんどは私の理論ですが、私は主観的にそれが高いレベルのもっともらしい否認可能性を持っていると感じているので、それがうまくいけばこのソリューションが好きです。 「ええと…ラムがうまくいかなかったに違いない

編集:奇妙な点を見つけました、gpsvcが無効になっている場合、ファイアウォールは自動的にオフになります:|

1
meffect