Puis-je remplacer la stratégie de groupe de domaine par une stratégie de groupe locale en tant qu'administrateur local?

24

J'essaye de fournir quelques ordinateurs portables spéciaux. Je souhaite créer un compte invité local. C'est bien, mais lorsque j'essaie de le créer, j'ai demandé que mon mot de passe invité ne réponde pas aux exigences de complexité.

J'ai essayé de modifier la politique de sécurité locale pour changer la complexité, mais cela est grisé. Est-il possible de remplacer la stratégie de domaine par local?

Oui, je sais que je peux choisir un mot de passe plus long mais ce n'est pas la question. Je veux savoir comment remplacer la stratégie de domaine au cas où j'en aurais besoin à l'avenir.

windows active-directory group-policy hkkhkhhk
la source

Réponses:

24

Il y a toujours moyen de pirater les stratégies centrales si vous avez un accès administrateur local - au minimum, vous pouvez apporter vos modifications localement au registre et pirater les paramètres de sécurité afin qu'ils ne puissent pas être mis à jour par l'agent de stratégie de groupe - mais ce n'est pas le cas '' t la meilleure façon de procéder. J'avoue l'avoir fait il y a 10 ans ... mais vraiment ... non. Il y a des résultats imprévus dans de nombreux cas.

Voir cet article technet . L'ordonnance d'application de la politique est effectivement:

  1. Local
  2. Site
  3. Domaine
  4. OU

Les stratégies ultérieures remplaceront les précédentes.

Le mieux est de créer un groupe d'ordinateurs et d'utiliser ce groupe pour exclure vos ordinateurs personnalisés de la stratégie de complexité des mots de passe ou assembler une nouvelle stratégie qui remplacera ces valeurs par défaut, filtrée pour ne s'appliquer qu'à ce groupe.

Tim Brigham
la source
4
Merci. Très instructif. C'est très stupide cependant. Un administrateur local devrait avoir un pouvoir complet sur cette machine locale particulière, tout comme la racine Linux.
hkkhkhhk
2
@hkkhkhhk - même root sous Linux a des limites. :) Si vous utilisez un produit de gestion centralisée comme Puppet ou Chef, ils continueront de pousser leurs politiques et d'annuler les modifications apportées par le compte root local, tout comme la stratégie de groupe. La conception est intentionnelle - elle oblige les gens à utiliser des méthodes évolutives.
Tim Brigham
Mais en tant que root Linux, je peux toujours dire Puppet à GTFO si j'ai besoin;). Ce que je veux dire, c'est que la configuration locale bat toujours à distance (pensez à l'authentification NIS + ou LDAP). Tout ce que le démon fantoche fait, c'est essentiellement de retirer les configurations qui sont appliquées localement.
hkkhkhhk
11
@hkkhkhhk - Ce n'est pas une conception "stupide". Un administrateur de domaine l'emporte toujours sur l'administrateur local. Exactement.
1
Pour ajouter au commentaire de hkkhkhhk: Si vous êtes un administrateur local et que vous n'aimez pas être trompé par l'administrateur du domaine, vous avez le pouvoir de quitter le domaine. Cependant, vous n'avez pas le pouvoir de remplacer les règles du domaine définies par la stratégie de groupe. (Eh bien, vous avez, mais seulement en piratant comme décrit dans la réponse.)
Martin Liversage
18

J'ai travaillé autour de cela en créant un script qui écrase les politiques que je ne veux pas dans le registre (vous pouvez utiliser la commande "REG" dans un script batch). Ce script peut être configuré pour s'exécuter à l'aide du Planificateur de tâches, immédiatement après que le client de stratégie de groupe a fini d'appliquer la stratégie, en utilisant «Sur un événement» comme déclencheur.

Le meilleur déclencheur d'événement que j'ai trouvé est Journal: Microsoft-Windows-GroupPolicy / Operational, Source: GroupPolicy et ID d'événement: 8004, mais vous pouvez consulter les journaux de l'Observateur d'événements pour quelques possibilités supplémentaires.

Aaron
la source
1
Mec tu es mon héros. Les gens n'oublient pas que si vous modifiez des clés de registre (comme pour le pare-feu Windows), vous devez redémarrer le service en question pour qu'il reprenne vos modifications.
brakertech
1

Une solution potentielle, utilisant Windows 10 Enterprise. Je ne l'ai pas testé dans un environnement de domaine. Je l'ai testé localement, et il a empêché c:\gpupdate /forcede fonctionner entièrement. Si je comprends bien le mécanisme, je présume que cela cassera un composant de base et garantira donc à l'utilisateur un taux de réussite de 100%. J'ai utilisé un outil qui me permet d'exécuter des binaires avec les droits TrustedInstaller / System. Sordum PowerRundans mon cas. Le binaire que j'ai exécuté avec ces autorisations élevées était "services.msc". J'ai ensuite arrêté (si démarré) et désactivé Group Policy Client(nom du service:) gpsvc. C'est à ce stade que c:\gpupdate /forcene fonctionnait plus. Je ne suis pas associé à un domaine, mais le type de démarrage désactivé a persisté lors des redémarrages. Donc, l'idée est que vous revenez / changez / remplacez / quelles que soient les stratégies de groupe héritées des contrôleurs de domainegpsvcservice avant qu'un autre automatisé ne gpupdatese déclenche. La plupart de cela est ma théorie, mais j'aime cette solution si elle fonctionne, car je pense subjectivement qu'elle a un haut niveau de déni plausible. "euh ... ça doit être le bélier qui va mal, des bouts tournants et tout le reste"

Edit: A trouvé une bizarrerie, le pare-feu s'éteint s'il gpsvcest désactivé: |

meffect
la source
-3

Supprimez-le du domaine ... faites tout ce que vous devez faire sur la machine, puis ajoutez-le à nouveau. selon la façon dont votre GPO est configuré, cela fonctionne dans la plupart des situations. Quoi qu'il en soit, je l'exécuterais par la mafia IA et j'obtiendrais par écrit quelque chose indiquant ce que vous faites est autorisé. En particulier, dans la plupart des situations, une violation de la sécurité en tant qu'administrateur système peut entraîner une résiliation immédiate.

darrell
la source
2
Cela a très peu de chances de fonctionner. La prochaine fois que la synchronisation de la stratégie de groupe sera effectuée, tout changera à nouveau.
mstaessen