क्या मैं एक स्थानीय व्यवस्थापक के रूप में स्थानीय समूह नीति के साथ डोमेन समूह नीति को ओवरराइड कर सकता हूं?


24

मैं कुछ विशेष केस लैपटॉप का प्रावधान करने की कोशिश कर रहा हूं। मैं एक स्थानीय अतिथि खाता बनाना चाहूंगा। यह ठीक है लेकिन जब मैं इसे बनाने की कोशिश करता हूं तो मैंने संकेत दिया कि मेरा अतिथि पासवर्ड जटिलता आवश्यकताओं को पूरा नहीं करता है।

मैंने जटिलता को बदलने के लिए स्थानीय सुरक्षा नीति को संपादित करने की कोशिश की, लेकिन यह समझ से बाहर है। क्या स्थानीय के साथ डोमेन नीति को ओवरराइड करना संभव है?

हां, मुझे पता है कि मैं एक लंबा पासवर्ड चुन सकता हूं लेकिन वह बात नहीं है। मैं जानना चाहता हूं कि भविष्य में मुझे किस मामले में डोमेन पॉलिसी को ओवरराइड करना है।

जवाबों:


24

यदि आपके पास स्थानीय व्यवस्थापक पहुंच है, तो हमेशा केंद्रीय नीतियों को हैक करने का तरीका होता है - कम से कम आप स्थानीय रूप से रजिस्ट्री में अपने परिवर्तन कर सकते हैं और सुरक्षा सेटिंग्स को हैक कर सकते हैं ताकि वे समूह नीति एजेंट द्वारा अपडेट नहीं किए जा सकें - लेकिन यह 'नहीं है t सबसे अच्छा तरीका है जाने के लिए। मैं इसे 10 साल पहले करने के लिए मानता हूँ .. लेकिन वास्तव में .. नहीं। बहुत सारे मामलों में अप्रत्याशित परिणाम हैं।

देखिये यह तकनीकी लेख। नीति आवेदन के लिए आदेश प्रभावी है:

  1. स्थानीय
  2. साइट
  3. डोमेन
  4. OU

बाद की नीतियां पहले वाले को अधिलेखित कर देंगी।

आपका सबसे अच्छा दांव एक कंप्यूटर समूह बनाना है और उस समूह का उपयोग या तो अपने कस्टम कंप्यूटर को पासवर्ड जटिलता नीति से बाहर करना है या एक नई नीति को इकट्ठा करना है जो इन डिफ़ॉल्ट को ओवरराइड करेगा, केवल इस समूह पर लागू करने के लिए फ़िल्टर किया गया है।


4
धन्यवाद। बहुत सूचनाप्रद। हालांकि यह बहुत गूंगा है। एक स्थानीय व्यवस्थापक को लिनक्स रूट की तरह ही उस विशेष स्थानीय मशीन पर पूरी शक्ति होनी चाहिए।
hkkhkhhk

2
@hkkhkhhk - यहां तक ​​कि लिनक्स में रूट की सीमाएँ हैं। :) यदि आप कठपुतली या बावर्ची जैसे केंद्रीकृत प्रबंधन उत्पाद का उपयोग कर रहे हैं, तो वे अपनी नीतियों को बाहर रखेंगे और समूह नीति की तरह, स्थानीय रूट खाते द्वारा किए गए परिवर्तनों को वापस लाएंगे। डिजाइन जानबूझकर किया गया है - यह लोगों को स्केलेबल तरीकों का उपयोग करने के लिए मजबूर करता है।
टिम ब्रिघम

लेकिन लिनक्स रूट के रूप में मैं हमेशा कठपुतली को GTFO को बता सकता हूं अगर मुझे आवश्यकता है;)। मेरा मतलब है कि स्थानीय कॉन्फ़िगरेशन हमेशा रिमोट (एनआईएस + या एलडीएपी प्रमाणीकरण सोचता है) धड़कता है। सभी कठपुतली बधिर मूल रूप से स्थानीय रूप से लागू किए गए कॉन्फ़िगरेशन को बाहर धकेल रहे हैं।
hkkhkhhk

11
@ हक्खख - यह "गूंगा" डिजाइन नहीं है। एक डोमेन एडमिन हमेशा लोकल एडमिन को ट्रम्प करता है। यह पूरी बात है।

1
Hkkhkhhk की टिप्पणी में जोड़ने के लिए: यदि आप एक स्थानीय व्यवस्थापक हैं और आपको डोमेन व्यवस्थापक द्वारा ट्रम्प होना पसंद नहीं है, तो आपके पास डोमेन छोड़ने की शक्ति है। हालाँकि, आपके पास समूह नीति द्वारा निर्धारित डोमेन के नियमों को ओवरराइड करने की शक्ति नहीं है। (ठीक है, आपके पास है, लेकिन केवल हैक करके जैसा कि उत्तर में वर्णित है।)
मार्टिन लीवरेज

18

मैंने इसके चारों ओर एक स्क्रिप्ट बनाकर काम किया है जो उन नीतियों को अधिलेखित करता है जो मैं रजिस्ट्री में नहीं चाहता (आप बैच स्क्रिप्ट में "REG" कमांड का उपयोग कर सकते हैं)। यह स्क्रिप्ट कार्य शेड्यूलर का उपयोग करके चलाने के लिए सेट की जा सकती है, समूह नीति क्लाइंट द्वारा ट्रिगर के रूप में "एक घटना पर" का उपयोग करके, पॉलिसी को लागू करने के तुरंत बाद।

सबसे अच्छा ईवेंट ट्रिगर जो मुझे मिला है वह है लॉग: Microsoft-Windows-GroupPolicy / Operational, Source: GroupPolicy और Event ID: 8004, लेकिन आप कुछ अतिरिक्त संभावनाओं के लिए इवेंट व्यूअर लॉग की जांच कर सकते हैं।


1
यार तुम मेरे हीरो हो। फोल्क्स यह नहीं भूलते हैं कि यदि आप रजिस्ट्री कुंजियों (जैसे विंडोज़ फ़ायरवॉल) को संशोधित कर रहे हैं, तो आपको अपने परिवर्तनों को लेने के लिए विचाराधीन सेवा को फिर से शुरू करने की आवश्यकता है।
ब्रेकरटेक

1

विंडोज 10 एंटरप्राइज का उपयोग करते हुए एक संभावित समाधान। मैंने इसे एक डोमेन वातावरण में परीक्षण नहीं किया है। मैंने इसका स्थानीय स्तर पर परीक्षण किया, और इसने c:\gpupdate /forceपूरी तरह से काम करने से रोका । यदि मैं तंत्र को सही ढंग से समझता हूं, तो मुझे लगता है कि यह एक नींव घटक को तोड़ देगा, और इसलिए उपयोगकर्ता की 100% सफलता दर की गारंटी देता है। मैंने एक उपकरण का उपयोग किया है जो मुझे ट्रस्टेडइन्स्टॉलर / सिस्टम प्राधिकरण के साथ बायनेरी चलाने की सुविधा देता है। Sordum PowerRunमेरे मामले में। इन उन्नत अनुमतियों के साथ मैं जो बाइनरी चला रहा था, वह था "services.msc"। मैंने तब स्टॉप किया (यदि शुरू किया गया) और अक्षम किया गया Group Policy Client(सेवा का नाम :) gpsvc। यह इस बिंदु पर है कि c:\gpupdate /forceअब कार्य नहीं किया गया है। मैं एक डोमेन में शामिल नहीं हूं, लेकिन विकलांग स्टार्टअप प्रकार रीबूट के माध्यम से बने रहे। तो विचार यह है, आप वापस / बदल / ओवरराइड / जो भी समूह की नीतियों को डोमेन नियंत्रकों से विरासत में मिला है,gpsvcएक और स्वचालित gpupdateआग से पहले सेवा बंद। इसमें से अधिकांश मेरा सिद्धांत है, लेकिन मुझे यह समाधान पसंद है अगर यह काम करता है, क्योंकि मुझे लगता है कि यह उच्च स्तर की प्रशंसनीय विकृति है। "उह .. राम खराब हो रहा है, flippin बिट्स और क्या नहीं होना चाहिए"

संपादित करें: एक विचित्रता पाई, यदि gpsvcअक्षम हो तो फ़ायरवॉल स्वयं बंद हो जाता है: |


-3

इसे डोमेन से निकालें ... मशीन से जो कुछ भी करने की आवश्यकता है उसे करें फिर इसे जोड़ें। निर्भर करता है कि आपका GPO अधिकांश स्थितियों में कैसे काम करता है। किसी भी तरह से मैं इसे आईए माफिया द्वारा चलाऊंगा और लिखित में कुछ भी प्राप्त करूँगा जो आपके कार्य को अधिकृत करता है। विशेष रूप से ज्यादातर स्थितियों में एक सिसडमिन के रूप में सुरक्षा उल्लंघन पर विचार करने के परिणामस्वरूप तत्काल समाप्ति हो सकती है।


2
इससे काम करने की बहुत कम संभावना है। अगली बार समूह नीति सिंक के माध्यम से, सब कुछ फिर से बदल गया है।
mstaessen
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.