Estoy tratando de aprovisionar algunas computadoras portátiles de casos especiales. Me gustaría crear una cuenta de invitado local. Eso está bien, pero cuando trato de crearlo, solicité que mi contraseña de invitado no cumpla con los requisitos de complejidad.
Intenté editar la política de seguridad local para cambiar la complejidad, pero esto está atenuado. ¿Es posible anular la política de dominio con local?
Sí, sé que puedo elegir una contraseña más larga, pero ese no es el punto. Quiero saber cómo anular la política de dominio en caso de que lo necesite en el futuro.
fuente
He trabajado alrededor de esto creando un script que sobrescribe las políticas que no quiero en el registro (puede usar el comando "REG" en un script por lotes). Este script se puede configurar para que se ejecute usando el Programador de tareas, inmediatamente después de que el cliente de la Política de grupo termine de aplicar la política, usando "En un evento" como desencadenante.
El mejor desencadenante de eventos que he encontrado es Log: Microsoft-Windows-GroupPolicy / Operational, Source: GroupPolicy e Event ID: 8004, pero puede consultar los registros del visor de eventos para ver algunas posibilidades adicionales.
fuente
Una posible solución, utilizando Windows 10 Enterprise. No lo he probado en un entorno de dominio. Lo probé localmente y evitó el servicio antes de que otro automatizado
c:\gpupdate /force
funcionara por completo. Si entiendo el mecanismo correctamente, supongo que esto romperá un componente básico y, por lo tanto, garantiza al usuario una tasa de éxito del 100%. Utilicé una herramienta que me permite ejecutar binarios con TrustedInstaller / Autoridad del sistema.Sordum PowerRun
en mi caso. El binario que ejecuté con estos permisos elevados fue "services.msc". Luego detuve (si comencé) y deshabilitéGroup Policy Client
(nombre del servicio:)gpsvc
. Es en este punto quec:\gpupdate /force
ya no funciona. No estoy unido a un dominio, pero el tipo de inicio deshabilitado persistió durante los reinicios. Entonces, la idea es revertir / cambiar / anular / las políticas de grupo heredadas de los controladores de dominio,gpsvc
gpupdate
apague. La mayor parte de esta es mi teoría, pero me gusta esta solución si funciona, porque subjetivamente siento que tiene un alto nivel de negación plausible. "uhh ... debe ser el carnero yendo mal, volteando pedazos y demás"Editar: Encontró una peculiaridad, el firewall se apaga solo si
gpsvc
está deshabilitado: |fuente
Elimínelo del dominio ... haga lo que necesite hacer en la máquina y luego vuelva a agregarlo. dependiendo de cómo esté configurado su GPO, esto funciona en la mayoría de las situaciones. De cualquier manera, lo dirigiría la mafia de IA y recibiría algo por escrito que indicara lo que esté haciendo su autorización. Especialmente teniendo en cuenta en la mayoría de las situaciones, una violación de seguridad como administrador del sistema puede resultar en la terminación inmediata.
fuente