Posso substituir a política de grupo de domínio pela política de grupo local como administrador local?

24

Estou tentando provisionar alguns laptops especiais. Gostaria de criar uma conta de convidado local. Tudo bem, mas quando tento criá-lo, solicitei que minha senha de convidado não atendesse aos requisitos de complexidade.

Tentei editar a política de segurança local para alterar a complexidade, mas isso está acinzentado. É possível substituir a diretiva de domínio por local?

Sim, eu sei que posso escolher uma senha mais longa, mas esse não é o ponto. Quero saber como substituir a diretiva de domínio, caso precise no futuro.

windows active-directory group-policy hkkhkhhk
fonte

Respostas:

24

Sempre há uma maneira de hackear políticas centrais se você tiver acesso de administrador local - no mínimo, você pode fazer alterações localmente no registro e hackear as configurações de segurança para que não possam ser atualizadas pelo agente de política de grupo - mas não é ' o melhor caminho a percorrer. Eu admito fazer isso há 10 anos ... mas realmente ... não. Existem resultados imprevistos em muitos casos.

Veja este artigo técnico . A ordem para aplicação da política é efetivamente:

  1. Local
  2. Local
  3. Domínio
  4. OU

As políticas posteriores substituirão as anteriores.

Sua melhor aposta é criar um grupo de computadores e usá-lo para excluir seus computadores personalizados da política de complexidade de senhas ou montar uma nova política que substitua esses padrões, filtrada para se aplicar apenas a esse grupo.

Tim Brigham
fonte
4
Obrigado. Muito informativo. Isso é muito idiota. Um administrador local deve ter total poder sobre essa máquina local específica, assim como a raiz do Linux.
Hkkhkhhk
2
@hkkhkhhk - até o root no Linux tem limites. :) Se você estiver usando um produto de gerenciamento centralizado como Puppet ou Chef, eles continuarão divulgando suas políticas e reverterão as alterações feitas pela conta raiz local, assim como a política de grupo. O design é intencional - obriga as pessoas a usar métodos escaláveis.
Tim Brigham
Mas como root do Linux, posso sempre dizer ao Puppet para o GTFO, se eu precisar;). O que quero dizer é que a configuração local sempre supera remotamente (pense na autenticação NIS + ou LDAP). Tudo o que o deamon fantoche está fazendo é basicamente empurrar configurações que são aplicadas localmente.
Hkkhkhhk
11
@hkkhkhhk - Não é um design "burro". Um administrador de domínio sempre supera o administrador local. Esse é o ponto.
1
Para adicionar ao comentário de hkkhkhhk: Se você é um administrador local e não gosta de ser enganado pelo administrador do domínio, tem o poder de sair do domínio. No entanto, você não tem o poder de substituir as regras do domínio estabelecidas pela política de grupo. (Bem, você tem, mas apenas por hackers como descrito na resposta.)
Martin Liversage
18

Eu resolvi isso criando um script que substitui as diretivas que não desejo no registro (você pode usar o comando "REG" em um script em lotes). Esse script pode ser definido para ser executado usando o Agendador de tarefas, imediatamente após o cliente da Diretiva de Grupo terminar de aplicar a diretiva, usando "Em um evento" como acionador.

O melhor gatilho de evento que encontrei é Log: Microsoft-Windows-GroupPolicy / Operational, Origem: GroupPolicy e ID do Evento: 8004, mas você pode verificar os logs do visualizador de eventos para obter algumas possibilidades adicionais.

Aaron
fonte
1
Cara, você é meu herói. O pessoal não esquece que, se você estiver modificando chaves do Registro (como no firewall do Windows), precisará reiniciar o serviço em questão para que ele possa captar suas alterações.
brakertech
1

Uma solução potencial, usando o Windows 10 Enterprise. Não testei em um ambiente de domínio. Eu testei localmente e impedi-lo c:\gpupdate /forcede funcionar completamente. Se eu entendi o mecanismo corretamente, presumo que isso irá quebrar um componente da fundação e, portanto, garanta ao usuário 100% de sucesso. Usei uma ferramenta que me permite executar binários com autoridade TrustedInstaller / System. Sordum PowerRunNo meu caso. O binário que eu executei com essas permissões elevadas era "services.msc". Em seguida, parei (se iniciado) e desabilitei Group Policy Client(nome do serviço:) gpsvc. É nesse ponto que c:\gpupdate /forcenão funciona mais. Não ingresso em um domínio, mas o tipo de inicialização desabilitado persistiu durante as reinicializações. Portanto, a idéia é reverter / alterar / substituir / quaisquer políticas de grupo herdadas dos controladores de domínio,gpsvcserviço antes que outro automatizado seja gpupdateacionado. A maior parte disso é minha teoria, mas eu gosto dessa solução, se funcionar, porque subjetivamente sinto que ela tem um alto nível de negação plausível. "uhh .. deve ser o carneiro indo mal, jogando bits e outros enfeites"

Editar: encontrou uma peculiaridade, o firewall se desliga se gpsvcestiver desativado: |

meffect
fonte
-3

Remova-o do domínio ... faça o que for necessário na máquina e adicione-o novamente. dependendo da configuração do seu GPO, isso funciona na maioria das situações. De qualquer maneira, eu diria isso pela máfia da IA ​​e obteria algo por escrito, informando o que você está autorizado a fazer. Especialmente considerando na maioria das situações, uma violação de segurança como administrador de sistemas pode resultar em rescisão imediata.

Darrell
fonte
2
Isso tem muito pouca chance de funcionar. Na próxima vez que a sincronização da política de grupo for concluída, tudo será alterado novamente.
mstaessen