Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Как на раб. станции отменить групповую политику (GPO)

Автор: abasov
Дата сообщения: 12.04.2005 11:50
Как на раб. станции отменить групповую политику (GPO), Но при этом машина должна остаться в домене?
Автор: G14
Дата сообщения: 12.04.2005 12:47
abasov
можешь подробнее описать чего ты хочешь ?
» Обзор (карта) форума "В помощь системному администратору" : Групповые политики (Group Policy): документация, FAQ, ссылки
Автор: nnstepan
Дата сообщения: 12.04.2005 13:07
О какой групповой политике ты говоришь? Локальная? Доменная? или собственноручно созданная?
Открываешь AD - Пользователи и компьютеры, смотришь в каком контейнере (OU) находится эта рабочая станция. Далее смотришь на каком контейнере (OU) находится политика, которая не должна применяться на эту рабочую станцию. Создай новый контейнер и перенеси туда эту раб. станцию, чтобы политика к нему не применялась. Ежели это доменная политика, то создай свою на этом контейнере и переназначь необходимые тебе параметры.
Еще способ - запрети чтение политики на уровне NTFS.
Автор: Xon
Дата сообщения: 12.04.2005 14:20
nnstepan

Цитата:
Еще способ - запрети чтение политики на уровне NTFS.

Не лучший вариант, в логах на клиенте будет полный жёлто-красный беспредел.
Автор: abasov
Дата сообщения: 13.04.2005 06:27
Я говорю о доменной политике применяемой к рабочей станции. Возможно ли на раб. станции отменить доменную политику, я пока не нашел вариантов, кроме как перекрыть на сетевом уровне, по портам, но при этом машина (раб станция) "выпадает" из домена. Вопрос интересен в первую очередь теоретически, сможет ли продвинутый юзер (с правами локального админа) отменить политику, думаю администраторам интересно будет рассмотреть данный вопрос, что бы своевременно схватить за кадык
Если возможно на уровне разграничения прав реестра, то где? Есть подозрение, что после изменения прав доступа к реестру, система вывалится в "краш-дебаг"
Автор: Alan Mon
Дата сообщения: 13.04.2005 09:42
abasov
Самому экспериментировать лень, но попробуй выдернуть сетевой шнурок и включить его уже после логона. Если, конечно, не запрещен логон из кеша. Т.к. политика применяется в момент старта и логона, вполне возможно, что проскочит. Правда ненадолго, часа на полтора.
Автор: nnstepan
Дата сообщения: 13.04.2005 12:52
Alan Mon

А где разрешается/запрещается логон из кэша?
Автор: Alan Mon
Дата сообщения: 13.04.2005 13:25
nnstepan
В групповой политике, вестимо:
"Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Параметры безопасности\Количество предыдущих подключений к кешу"
Или через реестр:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\cachedlogonscount
По умолчанию там 10
Автор: aleksiom
Дата сообщения: 18.06.2005 08:12
Немного трепа, если позволите. Если кто из сисадминов знает способы , как отменить доменные GP на локальной станции, то вряд ли будет об этом распространяться( этот форум ведь и те самые "продвинутые пользователи" читают). И широкое распространение этих способов , ведет лишь к неуправляемости сети. Зачем админу лишняя головная боль. Да и Microsoft , если бы считала нужным, выдала бы статью, как отменить GP. Ан нет.
Автор: defined
Дата сообщения: 18.06.2005 19:39
_http://www.networkdoc.ru/files/insop/win2003/print.html?stop-user-policy.html
Статья "Локальный администратор может отключить User Policy" более чем годовалой давности..
Автор: aleksiom
Дата сообщения: 18.06.2005 22:09
to defined

Всего лишь частный случай.
Касается только User Policy и только Win 2003, да плюс перемещаемые профили...
Мало кто станет так геморроится.




Автор: Root1
Дата сообщения: 19.06.2005 21:56
Перекинь учётку в группу локальных админов и не парься...или я чего то непонел
Автор: defined
Дата сообщения: 20.06.2005 19:52
aleksiom
"всего лишь частный" или "ну хоть какая-то инфа" ? других-то работоспособный вариантов (без дёрганья кабелей и написания доп. ПО бликирующего чтение именно файлов политики с сервера) вроде небыло

Root1
речь о том, что доменные политики перекрывают локальные и нужные этого избежать как-то без выноса компьютера из домена..
Автор: G14
Дата сообщения: 21.06.2005 08:29
abasov

Цитата:
Вопрос интересен в первую очередь теоретически, сможет ли продвинутый юзер (с правами локального админа) отменить политику

Нет. Корректно (не выводя машину из домена и не имея доступа к контроллерам)отменить не сможет. (пердвидя реплику про права на ветви реестра - это имо, некорректно, так как логи машины будут "желто-красными"). Но сможет исправить параметры руками. Но политика применится через некоторое время (90+- 30 минут по умолчанию) снова, так что это бой с ветряными мельницами.
А вообще то это дубль :
» Групповая политика домена на локального администратора
Автор: Dimsoft
Дата сообщения: 02.11.2005 21:50
Если локальный админ может пользоватся программой regedit (f он может то можно просто поправить значения в реестре которые внесла политика и заодно поставить на эти ключи в реестре запрет на изменение системой - все нет больше вашей политики (правда в логах будет кошмар)
Автор: vetvetvet
Дата сообщения: 03.07.2006 18:01
G14 а как вообще из домена выйти, но в сети остаться?
Автор: Dilk
Дата сообщения: 10.09.2007 08:55
За применение политик отвечают некие локальные файлы (для каждой группы настроек). Их удаление приведет к тому, что нечем будет политикам обрабатываться, а значит и не будет их применения. Гуглите дальше, товарищи!
Автор: Ed_73
Дата сообщения: 10.09.2007 10:14

Цитата:
Наследование настроек групповых политик родительского контейнера дочерним контейнером, с которым связан собственный объект групповой политики, может иметь место только в случае совместимости этих групповых политик. Например, если политика родительского контейнера задает определенную конфигурацию рабочего стола компьютера пользователя, а политика дочернего контейнера дополняет ее, пользователь увидит на своем рабочем столе все элементы, заданные обеими политиками. Если же групповая политика родительского контейнера противоречит групповой политике дочернего контейнера,, выполняются только настройки GPO, связанного с дочерним контейнером.

сдесь говориться про контенеры, а если я локальный одмин запущу локальную политику безопасности и поправлю то что наменял доменный админ, грубо говоря разрешу то что мне запретили то получается... я перекрою политику домена для данной машины?
Автор: Dilk
Дата сообщения: 13.09.2007 12:05
Доменные политики перекрывают локальные и имееют больший "приоритет". Тем самым если что-то прописано доменным админом в политике домена, то данные настройки через локальную политику не поменять. Однако не заданные параметры можешь менять как угодно.
Автор: wolk05
Дата сообщения: 10.01.2008 06:55
Надо удалить файл "c:\WINDOWS\system32\scecli.dll" и политики не будут применяться вообще (и удалить его везде, чтоб не востановился). На серваках правда будут ошибки в логах (не на контроллере). На рабочих станциях даже ошибок нет.
Автор: Elaniel
Дата сообщения: 10.01.2008 07:54
Кстати, есть такая фишка, что даже после выведения станции из домена она "помнит" доменную политику. Как можно "сбросить" настройки доменной политики с этой станции, не перелопачивая вручную локальные политики?
Автор: JekaRus
Дата сообщения: 04.03.2008 08:24
Elaniel

Цитата:
Кстати, есть такая фишка, что даже после выведения станции из домена она "помнит" доменную политику. Как можно "сбросить" настройки доменной политики с этой станции, не перелопачивая вручную локальные политики?

Есть такая фишка. Сам долго мучался пока великий админ bearwindows не помог решить проблему. За что ему СУПЕР СПАСИБО!!! Все гениальное просто.
Добавь в реестр

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\System]
"DisableGPO"=dword:00000001

Перегрузи и будет чудо. Сам проверял. Работает!!!
Не забудь послать спасибо в ПМ к bearwindows!!!
Автор: violant
Дата сообщения: 15.09.2008 13:14

Цитата:
Надо удалить файл "c:\WINDOWS\system32\scecli.dll" и политики не будут применяться вообще (и удалить его везде, чтоб не востановился). На серваках правда будут ошибки в логах (не на контроллере). На рабочих станциях даже ошибок нет.

Удалил файлик везде. Удалил доменных админов из локальных на сврем ПК. После перезапуска они все равно появились. На всяк случай удалил cscript.exe. Результат тот же.
Автор: veryom
Дата сообщения: 15.09.2008 13:39
violant

Цитата:
Удалил файлик везде. Удалил доменных админов из локальных на сврем ПК. После перезапуска они все равно появились. На всяк случай удалил cscript.exe. Результат тот же.

Записи о применяемых к компьютеру или пользователю GPO хранятся в следующих ветках реестра: для компьютера - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\History и для пользователя - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\History. Сохраните ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy и попробуйте удалять содержимое в ней. Почитайте еще статью How Core Group Policy Works.
Автор: violant
Дата сообщения: 16.09.2008 08:41
Получилось. Нашел ветку реестра, которая отвечает за стартап скрипты машины (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Scripts\Startup). Там был прописан js-скрипт для добавления доменных в локальные админы. Поменял разрешения на папку. Оставил только локального админа. При перезагрузке не добавились доменные админы в локальные. Думаю так можно поступить и с другими ветками и первым делом с веткой HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy. Не уверен только на долго ли это. Может каким-то боком разрешения поменяются?
P.S.1 По поводу файлика scecli.dll в событиях на локальной машине пишет такое "Не удалось загрузить расширение scecli.dll. (Не найден указанный модуль. ).".
P.S.2 Упоминание о файле scecli.dll есть еще в Статье
Автор: abasov
Дата сообщения: 06.03.2009 17:20
wolk05
Спасибо
Автор: abasov
Дата сообщения: 09.03.2009 17:42
violant
Естественно все можно отобрать взад, но наша задача как админов выяснить все черные ходы, что бы быть во все оружия.
Автор: violant
Дата сообщения: 10.03.2009 18:56


Цитата:
задача как админов выяснить все черные ходы

Да я сам такой.

Цитата:
что бы быть во все оружия

При этом способе кроме как нормативных способов нет вариантов. Удаленно ничего не сделаешь. А если есть нормативный тогда зачем париться. Пользователь может сказать что он этого не делал. Ходить следить за каждым если их тысячи нет смысла.
Короче:
- всех пользователей в локальную группу "пользователи" где есть домейн юзерс
- пароль на настройки биос и на единственного лок админа , загрузку только с винта
- пломба на системник
пока юзер имеет хоть какие права админа ничего не получиться
Автор: violant
Дата сообщения: 29.04.2010 09:40
Еще одна замечательная веточка в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts
Резюмирую
Самая главная
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy
Плюс
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts
Права оставляем только для локального админа (для манипуляций)
Тезисно
Операционка windows XP
Проверял отбор прав после ввода в домен (до ввода не пробовал).
В главной ветке прописываются политики.
Их надобно удалить.
Оставил везде только локальные.
Как оставить только те которые надо - не знаю.
С файликом scecli.dll ничего делать не надо(пока и так все работает).
Ивенты в контейнере Приложение на локальной ПК загажены сообщениями типа
Тип события:    Ошибка Источник события:    Userenv Категория события:    Отсутствует Код события:    1047 Дата:        28.04.2010 Время:        16:51:54 Пользователь:        NT AUTHORITY\SYSTEM Компьютер:    comp Описание: Не удалось прочесть хронологию объектов групповой политики (GPO) из реестра. Обработка групповой политики продолжается.
Автор: violant
Дата сообщения: 21.04.2011 13:30
А теперь вопрос возник с Windows 7 в которой есть служба "Клиент групповой политики".
Если у кого есть решение по отключению групповых политик на ПК, которое введено в домен - поделитесь.

Страницы: 12

Предыдущая тема: Интернет по локальной сети.


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.