ฉันสามารถแทนที่นโยบายกลุ่มโดเมนด้วยนโยบายกลุ่มโลคัลในฐานะผู้ดูแลท้องถิ่นได้หรือไม่

ฉันกำลังพยายามจัดเตรียมแล็ปท็อปกรณีพิเศษบางอย่าง ฉันต้องการสร้างบัญชีผู้เยี่ยมชมท้องถิ่น ไม่เป็นไร แต่เมื่อฉันพยายามสร้างมันขึ้นมาฉันได้รับแจ้งว่ารหัสผ่านของผู้เยี่ยมชมไม่ตรงตามข้อกำหนดความซับซ้อน

ฉันพยายามแก้ไขนโยบายความปลอดภัยท้องถิ่นเพื่อเปลี่ยนความซับซ้อน แต่เป็นสีเทา เป็นไปได้หรือไม่ที่จะแทนที่นโยบายโดเมนด้วย Local

ใช่ฉันรู้ว่าฉันสามารถเลือกรหัสผ่านที่ยาวกว่าได้ แต่นั่นไม่ใช่ประเด็น ฉันต้องการทราบวิธีการแทนที่นโยบายโดเมนในกรณีที่ฉันต้องการในอนาคต

มีวิธีแฮ็กนโยบายส่วนกลางอยู่เสมอหากคุณมีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบอย่างน้อยคุณสามารถทำการเปลี่ยนแปลงภายในรีจิสทรีและตั้งค่าความปลอดภัยเพื่อไม่ให้พวกเขาสามารถอัปเดตโดยตัวแทนนโยบายกลุ่ม - แต่มันไม่ใช่ ' วิธีที่ดีที่สุดที่จะไป ฉันจะยอมรับที่จะทำเมื่อ 10 ปีที่แล้ว .. แต่จริง ๆ แล้ว .. ไม่ทำ มีผลลัพธ์ที่ไม่คาดคิดในหลายกรณี

เห็นนี้TechNetบทความ คำสั่งสำหรับการประยุกต์ใช้นโยบายมีประสิทธิภาพ:

1. ในประเทศ
2. เว็บไซต์
3. โดเมน
4. OU

นโยบายในภายหลังจะเขียนทับนโยบายก่อนหน้า

ทางออกที่ดีที่สุดของคุณคือการสร้างกลุ่มคอมพิวเตอร์และใช้กลุ่มนั้นเพื่อแยกคอมพิวเตอร์ที่กำหนดเองของคุณออกจากนโยบายความซับซ้อนของรหัสผ่านหรือรวบรวมนโยบายใหม่ที่จะแทนที่ค่าเริ่มต้นเหล่านี้กรองเพื่อใช้กับกลุ่มนี้เท่านั้น

ฉันได้แก้ไขสิ่งนี้โดยการสร้างสคริปต์ที่เขียนทับนโยบายที่ฉันไม่ต้องการในรีจิสตรี (คุณสามารถใช้คำสั่ง "REG" ในแบตช์สคริปต์) สคริปต์นี้สามารถตั้งค่าให้ทำงานโดยใช้ Task Scheduler ทันทีหลังจากไคลเอนต์นโยบายกลุ่มเสร็จสิ้นการใช้นโยบายโดยใช้ "ในเหตุการณ์" เป็นทริกเกอร์

ทริกเกอร์เหตุการณ์ที่ดีที่สุดที่ฉันพบคือ Log: Microsoft-Windows-GroupPolicy / Operational, ที่มา: GroupPolicy และ ID เหตุการณ์: 8004 แต่คุณสามารถตรวจสอบบันทึกเหตุการณ์ของผู้ดูได้เพื่อดูความเป็นไปได้เพิ่มเติม

ทางออกที่เป็นไปได้โดยใช้ Windows 10 Enterprise ฉันไม่ได้ทดสอบในสภาพแวดล้อมของโดเมน ฉันทดสอบในพื้นที่และป้องกันไม่ให้c:\gpupdate /forceทำงานโดยสิ้นเชิง หากฉันเข้าใจกลไกอย่างถูกต้องฉันเชื่อว่าสิ่งนี้จะทำลายองค์ประกอบพื้นฐานและรับประกันอัตราความสำเร็จของผู้ใช้ 100% ฉันใช้เครื่องมือที่ช่วยให้ฉันรันไบนารีด้วยสิทธิ์ TrustedInstaller / System Sordum PowerRunในกรณีของฉัน ไบนารีฉันวิ่งด้วยการยกระดับสิทธิ์เหล่านี้คือ "services.msc" จากนั้นผมก็หยุด (ถ้าเริ่มต้น) และผู้พิการGroup Policy Client(ชื่อบริการ: gpsvc) มาถึงจุดนี้แล้วว่าc:\gpupdate /forceไม่สามารถใช้งานได้อีกต่อไป ฉันไม่ได้เข้าร่วมกับโดเมน แต่ประเภทการเริ่มต้นที่ปิดใช้งานยังคงมีอยู่ผ่านการรีบูต ดังนั้นความคิดคือคุณเปลี่ยน / เปลี่ยน / แทนที่ / นโยบายกลุ่มใดก็ตามที่สืบทอดจากตัวควบคุมโดเมนgpsvcบริการก่อนที่gpupdateไฟอัตโนมัติอีกเครื่องจะปิด ส่วนใหญ่เป็นทฤษฎีของฉัน แต่ฉันชอบวิธีนี้ถ้าได้ผลเพราะฉันรู้สึกว่ามันมีความน่าเชื่อถือในระดับสูง "uhh .. ต้องเป็น ram จะไม่ดีบิต flippin และ whatnot"

แก้ไข: พบการเล่นโวหารหรือไม่ไฟร์วอลล์จะปิดตัวเองหากgpsvcปิดใช้งาน: |

ลบออกจากโดเมน ... ทำสิ่งที่คุณต้องทำกับเครื่องจากนั้นเพิ่มอีกครั้ง ขึ้นอยู่กับการตั้งค่าวัตถุนโยบายกลุ่มของคุณทำงานในสถานการณ์ส่วนใหญ่ ทั้งสองวิธีที่ฉันจะเรียกใช้โดย IA มาเฟียและรับบางสิ่งบางอย่างเป็นลายลักษณ์อักษรที่ระบุว่าสิ่งที่คุณทำนั้นได้รับอนุญาต โดยเฉพาะอย่างยิ่งการพิจารณาในสถานการณ์ส่วนใหญ่การละเมิดความปลอดภัยในระบบดูแลระบบอาจส่งผลให้ถูกยกเลิกทันที