¿Puedo anular la política de grupo de dominio con la política de grupo local como administrador local?

24

Estoy tratando de aprovisionar algunas computadoras portátiles de casos especiales. Me gustaría crear una cuenta de invitado local. Eso está bien, pero cuando trato de crearlo, solicité que mi contraseña de invitado no cumpla con los requisitos de complejidad.

Intenté editar la política de seguridad local para cambiar la complejidad, pero esto está atenuado. ¿Es posible anular la política de dominio con local?

Sí, sé que puedo elegir una contraseña más larga, pero ese no es el punto. Quiero saber cómo anular la política de dominio en caso de que lo necesite en el futuro.

hkkhkhhk
fuente

Respuestas:

24

Siempre hay una forma de piratear las políticas centrales si tiene acceso de administrador local; como mínimo, puede realizar sus cambios localmente en el registro y piratear las configuraciones de seguridad para que el agente de políticas de grupo no pueda actualizarlas, pero no es así t la mejor manera de ir. Admito que lo hice hace 10 años ... pero realmente ... no lo hagas. Hay resultados inesperados en muchos casos.

Ver este artículo de technet . El orden para la aplicación de la política es efectivamente:

  1. Local
  2. Sitio
  3. Dominio
  4. UNED

Las políticas posteriores sobrescribirán las anteriores.

Su mejor opción es crear un grupo de computadoras y usar ese grupo para excluir sus computadoras personalizadas de la política de complejidad de la contraseña o armar una nueva política que anule estos valores predeterminados, filtrados para que solo se apliquen a este grupo.

Tim Brigham
fuente
44
Gracias. Muy informativo. Sin embargo, eso es muy tonto. Un administrador local debe tener un poder completo sobre esa máquina local en particular, como la raíz de Linux.
hkkhkhhk
2
@hkkhkhhk: incluso la raíz en Linux tiene límites. :) Si está utilizando un producto de administración centralizada como Puppet o Chef, seguirán aplicando sus políticas y revertirán los cambios realizados por la cuenta raíz local, al igual que la política de grupo. El diseño es intencional: obliga a la gente a usar métodos escalables.
Tim Brigham
Pero como root de Linux siempre puedo decirle a Puppet a GTFO si lo necesito;). Lo que quiero decir es que la configuración local siempre supera a la remota (piense en la autenticación NIS + o LDAP). Todo lo que el demonio de marionetas está haciendo es básicamente eliminar configuraciones que se aplican localmente.
hkkhkhhk
11
@hkkhkhhk: no es un diseño "tonto". Un administrador de dominio siempre triunfa sobre el administrador local. Ese es todo el punto.
1
Para agregar al comentario de hkkhkhhk: Si usted es un administrador local y no le gusta que el administrador del dominio lo engañe, tiene el poder de abandonar el dominio. Sin embargo, no tiene el poder de anular las reglas del dominio establecidas por la política de grupo. (Bueno, sí, pero solo pirateando como se describe en la respuesta.)
Martin Liversage
18

He trabajado alrededor de esto creando un script que sobrescribe las políticas que no quiero en el registro (puede usar el comando "REG" en un script por lotes). Este script se puede configurar para que se ejecute usando el Programador de tareas, inmediatamente después de que el cliente de la Política de grupo termine de aplicar la política, usando "En un evento" como desencadenante.

El mejor desencadenante de eventos que he encontrado es Log: Microsoft-Windows-GroupPolicy / Operational, Source: GroupPolicy e Event ID: 8004, pero puede consultar los registros del visor de eventos para ver algunas posibilidades adicionales.

Aaron
fuente
1
Amigo, eres mi héroe. La gente no olvide que si está modificando claves de registro (como para el firewall de Windows), debe reiniciar el servicio en cuestión para que pueda recoger sus cambios.
brakertech
1

Una posible solución, utilizando Windows 10 Enterprise. No lo he probado en un entorno de dominio. Lo probé localmente y evitó el servicio antes de que otro automatizadoc:\gpupdate /force funcionara por completo. Si entiendo el mecanismo correctamente, supongo que esto romperá un componente básico y, por lo tanto, garantiza al usuario una tasa de éxito del 100%. Utilicé una herramienta que me permite ejecutar binarios con TrustedInstaller / Autoridad del sistema. Sordum PowerRunen mi caso. El binario que ejecuté con estos permisos elevados fue "services.msc". Luego detuve (si comencé) y deshabilité Group Policy Client(nombre del servicio:) gpsvc. Es en este punto que c:\gpupdate /forceya no funciona. No estoy unido a un dominio, pero el tipo de inicio deshabilitado persistió durante los reinicios. Entonces, la idea es revertir / cambiar / anular / las políticas de grupo heredadas de los controladores de dominio,gpsvcgpupdate apague. La mayor parte de esta es mi teoría, pero me gusta esta solución si funciona, porque subjetivamente siento que tiene un alto nivel de negación plausible. "uhh ... debe ser el carnero yendo mal, volteando pedazos y demás"

Editar: Encontró una peculiaridad, el firewall se apaga solo si gpsvcestá deshabilitado: |

efecto
fuente
-3

Elimínelo del dominio ... haga lo que necesite hacer en la máquina y luego vuelva a agregarlo. dependiendo de cómo esté configurado su GPO, esto funciona en la mayoría de las situaciones. De cualquier manera, lo dirigiría la mafia de IA y recibiría algo por escrito que indicara lo que esté haciendo su autorización. Especialmente teniendo en cuenta en la mayoría de las situaciones, una violación de seguridad como administrador del sistema puede resultar en la terminación inmediata.

Darrell
fuente
2
Esto tiene muy pocas posibilidades de funcionar. La próxima vez que se realice la sincronización de la política de grupo, todo volverá a cambiar.
mstaessen