Puis-je remplacer la stratégie de groupe de domaine par une stratégie de groupe locale en tant qu'administrateur local?

J'essaye de fournir quelques ordinateurs portables spéciaux. Je souhaite créer un compte invité local. C'est bien, mais lorsque j'essaie de le créer, j'ai demandé que mon mot de passe invité ne réponde pas aux exigences de complexité.

J'ai essayé de modifier la politique de sécurité locale pour changer la complexité, mais cela est grisé. Est-il possible de remplacer la stratégie de domaine par local?

Oui, je sais que je peux choisir un mot de passe plus long mais ce n'est pas la question. Je veux savoir comment remplacer la stratégie de domaine au cas où j'en aurais besoin à l'avenir.

Il y a toujours moyen de pirater les stratégies centrales si vous avez un accès administrateur local - au minimum, vous pouvez apporter vos modifications localement au registre et pirater les paramètres de sécurité afin qu'ils ne puissent pas être mis à jour par l'agent de stratégie de groupe - mais ce n'est pas le cas '' t la meilleure façon de procéder. J'avoue l'avoir fait il y a 10 ans ... mais vraiment ... non. Il y a des résultats imprévus dans de nombreux cas.

Voir cet article technet . L'ordonnance d'application de la politique est effectivement:

1. Local
2. Site
3. Domaine
4. OU

Les stratégies ultérieures remplaceront les précédentes.

Le mieux est de créer un groupe d'ordinateurs et d'utiliser ce groupe pour exclure vos ordinateurs personnalisés de la stratégie de complexité des mots de passe ou assembler une nouvelle stratégie qui remplacera ces valeurs par défaut, filtrée pour ne s'appliquer qu'à ce groupe.

J'ai travaillé autour de cela en créant un script qui écrase les politiques que je ne veux pas dans le registre (vous pouvez utiliser la commande "REG" dans un script batch). Ce script peut être configuré pour s'exécuter à l'aide du Planificateur de tâches, immédiatement après que le client de stratégie de groupe a fini d'appliquer la stratégie, en utilisant «Sur un événement» comme déclencheur.

Le meilleur déclencheur d'événement que j'ai trouvé est Journal: Microsoft-Windows-GroupPolicy / Operational, Source: GroupPolicy et ID d'événement: 8004, mais vous pouvez consulter les journaux de l'Observateur d'événements pour quelques possibilités supplémentaires.

Une solution potentielle, utilisant Windows 10 Enterprise. Je ne l'ai pas testé dans un environnement de domaine. Je l'ai testé localement, et il a empêché c:\gpupdate /forcede fonctionner entièrement. Si je comprends bien le mécanisme, je présume que cela cassera un composant de base et garantira donc à l'utilisateur un taux de réussite de 100%. J'ai utilisé un outil qui me permet d'exécuter des binaires avec les droits TrustedInstaller / System. Sordum PowerRundans mon cas. Le binaire que j'ai exécuté avec ces autorisations élevées était "services.msc". J'ai ensuite arrêté (si démarré) et désactivé Group Policy Client(nom du service:) gpsvc. C'est à ce stade que c:\gpupdate /forcene fonctionnait plus. Je ne suis pas associé à un domaine, mais le type de démarrage désactivé a persisté lors des redémarrages. Donc, l'idée est que vous revenez / changez / remplacez / quelles que soient les stratégies de groupe héritées des contrôleurs de domainegpsvcservice avant qu'un autre automatisé ne gpupdatese déclenche. La plupart de cela est ma théorie, mais j'aime cette solution si elle fonctionne, car je pense subjectivement qu'elle a un haut niveau de déni plausible. "euh ... ça doit être le bélier qui va mal, des bouts tournants et tout le reste"

Edit: A trouvé une bizarrerie, le pare-feu s'éteint s'il gpsvcest désactivé: |

Supprimez-le du domaine ... faites tout ce que vous devez faire sur la machine, puis ajoutez-le à nouveau. selon la façon dont votre GPO est configuré, cela fonctionne dans la plupart des situations. Quoi qu'il en soit, je l'exécuterais par la mafia IA et j'obtiendrais par écrit quelque chose indiquant ce que vous faites est autorisé. En particulier, dans la plupart des situations, une violation de la sécurité en tant qu'administrateur système peut entraîner une résiliation immédiate.