Как на раб. станции отменить групповую политику (GPO), Но при этом машина должна остаться в домене?
» Как на раб. станции отменить групповую политику (GPO)
abasov
можешь подробнее описать чего ты хочешь ?
» Обзор (карта) форума "В помощь системному администратору" : Групповые политики (Group Policy): документация, FAQ, ссылки
можешь подробнее описать чего ты хочешь ?
» Обзор (карта) форума "В помощь системному администратору" : Групповые политики (Group Policy): документация, FAQ, ссылки
О какой групповой политике ты говоришь? Локальная? Доменная? или собственноручно созданная?
Открываешь AD - Пользователи и компьютеры, смотришь в каком контейнере (OU) находится эта рабочая станция. Далее смотришь на каком контейнере (OU) находится политика, которая не должна применяться на эту рабочую станцию. Создай новый контейнер и перенеси туда эту раб. станцию, чтобы политика к нему не применялась. Ежели это доменная политика, то создай свою на этом контейнере и переназначь необходимые тебе параметры.
Еще способ - запрети чтение политики на уровне NTFS.
Открываешь AD - Пользователи и компьютеры, смотришь в каком контейнере (OU) находится эта рабочая станция. Далее смотришь на каком контейнере (OU) находится политика, которая не должна применяться на эту рабочую станцию. Создай новый контейнер и перенеси туда эту раб. станцию, чтобы политика к нему не применялась. Ежели это доменная политика, то создай свою на этом контейнере и переназначь необходимые тебе параметры.
Еще способ - запрети чтение политики на уровне NTFS.
nnstepan
Цитата:
Не лучший вариант, в логах на клиенте будет полный жёлто-красный беспредел.
Цитата:
Еще способ - запрети чтение политики на уровне NTFS.
Не лучший вариант, в логах на клиенте будет полный жёлто-красный беспредел.
Я говорю о доменной политике применяемой к рабочей станции. Возможно ли на раб. станции отменить доменную политику, я пока не нашел вариантов, кроме как перекрыть на сетевом уровне, по портам, но при этом машина (раб станция) "выпадает" из домена. Вопрос интересен в первую очередь теоретически, сможет ли продвинутый юзер (с правами локального админа) отменить политику, думаю администраторам интересно будет рассмотреть данный вопрос, что бы своевременно схватить за кадык
Если возможно на уровне разграничения прав реестра, то где? Есть подозрение, что после изменения прав доступа к реестру, система вывалится в "краш-дебаг"
Если возможно на уровне разграничения прав реестра, то где? Есть подозрение, что после изменения прав доступа к реестру, система вывалится в "краш-дебаг"
abasov
Самому экспериментировать лень, но попробуй выдернуть сетевой шнурок и включить его уже после логона. Если, конечно, не запрещен логон из кеша. Т.к. политика применяется в момент старта и логона, вполне возможно, что проскочит. Правда ненадолго, часа на полтора.
Самому экспериментировать лень, но попробуй выдернуть сетевой шнурок и включить его уже после логона. Если, конечно, не запрещен логон из кеша. Т.к. политика применяется в момент старта и логона, вполне возможно, что проскочит. Правда ненадолго, часа на полтора.
Alan Mon
А где разрешается/запрещается логон из кэша?
А где разрешается/запрещается логон из кэша?
nnstepan
В групповой политике, вестимо:
"Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Параметры безопасности\Количество предыдущих подключений к кешу"
Или через реестр:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\cachedlogonscount
По умолчанию там 10
В групповой политике, вестимо:
"Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Параметры безопасности\Количество предыдущих подключений к кешу"
Или через реестр:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\cachedlogonscount
По умолчанию там 10
Немного трепа, если позволите. Если кто из сисадминов знает способы , как отменить доменные GP на локальной станции, то вряд ли будет об этом распространяться( этот форум ведь и те самые "продвинутые пользователи" читают). И широкое распространение этих способов , ведет лишь к неуправляемости сети. Зачем админу лишняя головная боль. Да и Microsoft , если бы считала нужным, выдала бы статью, как отменить GP. Ан нет.
_http://www.networkdoc.ru/files/insop/win2003/print.html?stop-user-policy.html
Статья "Локальный администратор может отключить User Policy" более чем годовалой давности..
Статья "Локальный администратор может отключить User Policy" более чем годовалой давности..
to defined
Всего лишь частный случай.
Касается только User Policy и только Win 2003, да плюс перемещаемые профили...
Мало кто станет так геморроится.
Всего лишь частный случай.
Касается только User Policy и только Win 2003, да плюс перемещаемые профили...
Мало кто станет так геморроится.
Перекинь учётку в группу локальных админов и не парься...или я чего то непонел
aleksiom
"всего лишь частный" или "ну хоть какая-то инфа" ? других-то работоспособный вариантов (без дёрганья кабелей и написания доп. ПО бликирующего чтение именно файлов политики с сервера) вроде небыло
Root1
речь о том, что доменные политики перекрывают локальные и нужные этого избежать как-то без выноса компьютера из домена..
"всего лишь частный" или "ну хоть какая-то инфа" ? других-то работоспособный вариантов (без дёрганья кабелей и написания доп. ПО бликирующего чтение именно файлов политики с сервера) вроде небыло
Root1
речь о том, что доменные политики перекрывают локальные и нужные этого избежать как-то без выноса компьютера из домена..
abasov
Цитата:
Нет. Корректно (не выводя машину из домена и не имея доступа к контроллерам)отменить не сможет. (пердвидя реплику про права на ветви реестра - это имо, некорректно, так как логи машины будут "желто-красными"). Но сможет исправить параметры руками. Но политика применится через некоторое время (90+- 30 минут по умолчанию) снова, так что это бой с ветряными мельницами.
А вообще то это дубль :
» Групповая политика домена на локального администратора
Цитата:
Вопрос интересен в первую очередь теоретически, сможет ли продвинутый юзер (с правами локального админа) отменить политику
Нет. Корректно (не выводя машину из домена и не имея доступа к контроллерам)отменить не сможет. (пердвидя реплику про права на ветви реестра - это имо, некорректно, так как логи машины будут "желто-красными"). Но сможет исправить параметры руками. Но политика применится через некоторое время (90+- 30 минут по умолчанию) снова, так что это бой с ветряными мельницами.
А вообще то это дубль :
» Групповая политика домена на локального администратора
Если локальный админ может пользоватся программой regedit (f он может то можно просто поправить значения в реестре которые внесла политика и заодно поставить на эти ключи в реестре запрет на изменение системой - все нет больше вашей политики (правда в логах будет кошмар)
G14 а как вообще из домена выйти, но в сети остаться?
За применение политик отвечают некие локальные файлы (для каждой группы настроек). Их удаление приведет к тому, что нечем будет политикам обрабатываться, а значит и не будет их применения. Гуглите дальше, товарищи!
Цитата:
Наследование настроек групповых политик родительского контейнера дочерним контейнером, с которым связан собственный объект групповой политики, может иметь место только в случае совместимости этих групповых политик. Например, если политика родительского контейнера задает определенную конфигурацию рабочего стола компьютера пользователя, а политика дочернего контейнера дополняет ее, пользователь увидит на своем рабочем столе все элементы, заданные обеими политиками. Если же групповая политика родительского контейнера противоречит групповой политике дочернего контейнера,, выполняются только настройки GPO, связанного с дочерним контейнером.
сдесь говориться про контенеры, а если я локальный одмин запущу локальную политику безопасности и поправлю то что наменял доменный админ, грубо говоря разрешу то что мне запретили то получается... я перекрою политику домена для данной машины?
Доменные политики перекрывают локальные и имееют больший "приоритет". Тем самым если что-то прописано доменным админом в политике домена, то данные настройки через локальную политику не поменять. Однако не заданные параметры можешь менять как угодно.
Надо удалить файл "c:\WINDOWS\system32\scecli.dll" и политики не будут применяться вообще (и удалить его везде, чтоб не востановился). На серваках правда будут ошибки в логах (не на контроллере). На рабочих станциях даже ошибок нет.
Кстати, есть такая фишка, что даже после выведения станции из домена она "помнит" доменную политику. Как можно "сбросить" настройки доменной политики с этой станции, не перелопачивая вручную локальные политики?
Elaniel
Цитата:
Есть такая фишка. Сам долго мучался пока великий админ bearwindows не помог решить проблему. За что ему СУПЕР СПАСИБО!!! Все гениальное просто.
Добавь в реестр
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\System]
"DisableGPO"=dword:00000001
Перегрузи и будет чудо. Сам проверял. Работает!!!
Не забудь послать спасибо в ПМ к bearwindows!!!
Цитата:
Кстати, есть такая фишка, что даже после выведения станции из домена она "помнит" доменную политику. Как можно "сбросить" настройки доменной политики с этой станции, не перелопачивая вручную локальные политики?
Есть такая фишка. Сам долго мучался пока великий админ bearwindows не помог решить проблему. За что ему СУПЕР СПАСИБО!!! Все гениальное просто.
Добавь в реестр
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\System]
"DisableGPO"=dword:00000001
Перегрузи и будет чудо. Сам проверял. Работает!!!
Не забудь послать спасибо в ПМ к bearwindows!!!
Цитата:
Надо удалить файл "c:\WINDOWS\system32\scecli.dll" и политики не будут применяться вообще (и удалить его везде, чтоб не востановился). На серваках правда будут ошибки в логах (не на контроллере). На рабочих станциях даже ошибок нет.
Удалил файлик везде. Удалил доменных админов из локальных на сврем ПК. После перезапуска они все равно появились. На всяк случай удалил cscript.exe. Результат тот же.
violant
Цитата:
Записи о применяемых к компьютеру или пользователю GPO хранятся в следующих ветках реестра: для компьютера - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\History и для пользователя - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\History. Сохраните ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy и попробуйте удалять содержимое в ней. Почитайте еще статью How Core Group Policy Works.
Цитата:
Удалил файлик везде. Удалил доменных админов из локальных на сврем ПК. После перезапуска они все равно появились. На всяк случай удалил cscript.exe. Результат тот же.
Записи о применяемых к компьютеру или пользователю GPO хранятся в следующих ветках реестра: для компьютера - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\History и для пользователя - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\History. Сохраните ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy и попробуйте удалять содержимое в ней. Почитайте еще статью How Core Group Policy Works.
Получилось. Нашел ветку реестра, которая отвечает за стартап скрипты машины (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Scripts\Startup). Там был прописан js-скрипт для добавления доменных в локальные админы. Поменял разрешения на папку. Оставил только локального админа. При перезагрузке не добавились доменные админы в локальные. Думаю так можно поступить и с другими ветками и первым делом с веткой HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy. Не уверен только на долго ли это. Может каким-то боком разрешения поменяются?
P.S.1 По поводу файлика scecli.dll в событиях на локальной машине пишет такое "Не удалось загрузить расширение scecli.dll. (Не найден указанный модуль. ).".
P.S.2 Упоминание о файле scecli.dll есть еще в Статье
P.S.1 По поводу файлика scecli.dll в событиях на локальной машине пишет такое "Не удалось загрузить расширение scecli.dll. (Не найден указанный модуль. ).".
P.S.2 Упоминание о файле scecli.dll есть еще в Статье
wolk05
Спасибо
Спасибо
violant
Естественно все можно отобрать взад, но наша задача как админов выяснить все черные ходы, что бы быть во все оружия.
Естественно все можно отобрать взад, но наша задача как админов выяснить все черные ходы, что бы быть во все оружия.
Цитата:
задача как админов выяснить все черные ходы
Да я сам такой.
Цитата:
что бы быть во все оружия
При этом способе кроме как нормативных способов нет вариантов. Удаленно ничего не сделаешь. А если есть нормативный тогда зачем париться. Пользователь может сказать что он этого не делал. Ходить следить за каждым если их тысячи нет смысла.
Короче:
- всех пользователей в локальную группу "пользователи" где есть домейн юзерс
- пароль на настройки биос и на единственного лок админа , загрузку только с винта
- пломба на системник
пока юзер имеет хоть какие права админа ничего не получиться
Еще одна замечательная веточка в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts
Резюмирую
Самая главная
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy
Плюс
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts
Права оставляем только для локального админа (для манипуляций)
Тезисно
Операционка windows XP
Проверял отбор прав после ввода в домен (до ввода не пробовал).
В главной ветке прописываются политики.
Их надобно удалить.
Оставил везде только локальные.
Как оставить только те которые надо - не знаю.
С файликом scecli.dll ничего делать не надо(пока и так все работает).
Ивенты в контейнере Приложение на локальной ПК загажены сообщениями типа
Тип события: Ошибка Источник события: Userenv Категория события: Отсутствует Код события: 1047 Дата: 28.04.2010 Время: 16:51:54 Пользователь: NT AUTHORITY\SYSTEM Компьютер: comp Описание: Не удалось прочесть хронологию объектов групповой политики (GPO) из реестра. Обработка групповой политики продолжается.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts
Резюмирую
Самая главная
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy
Плюс
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts
Права оставляем только для локального админа (для манипуляций)
Тезисно
Операционка windows XP
Проверял отбор прав после ввода в домен (до ввода не пробовал).
В главной ветке прописываются политики.
Их надобно удалить.
Оставил везде только локальные.
Как оставить только те которые надо - не знаю.
С файликом scecli.dll ничего делать не надо(пока и так все работает).
Ивенты в контейнере Приложение на локальной ПК загажены сообщениями типа
Тип события: Ошибка Источник события: Userenv Категория события: Отсутствует Код события: 1047 Дата: 28.04.2010 Время: 16:51:54 Пользователь: NT AUTHORITY\SYSTEM Компьютер: comp Описание: Не удалось прочесть хронологию объектов групповой политики (GPO) из реестра. Обработка групповой политики продолжается.
А теперь вопрос возник с Windows 7 в которой есть служба "Клиент групповой политики".
Если у кого есть решение по отключению групповых политик на ПК, которое введено в домен - поделитесь.
Если у кого есть решение по отключению групповых политик на ПК, которое введено в домен - поделитесь.
Предыдущая тема: Интернет по локальной сети.
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.