Kann ich als lokaler Administrator eine Domänengruppenrichtlinie mit einer lokalen Gruppenrichtlinie überschreiben?

24

Ich versuche, ein paar spezielle Laptops bereitzustellen. Ich möchte ein lokales Gastkonto erstellen. Das ist in Ordnung, aber wenn ich versuche, es zu erstellen, habe ich darauf hingewiesen, dass mein Gastkennwort nicht den Komplexitätsanforderungen entspricht.

Ich habe versucht, die lokale Sicherheitsrichtlinie zu bearbeiten, um die Komplexität zu ändern. Dies ist jedoch ausgegraut. Ist es möglich, Domain-Richtlinien mit lokalen zu überschreiben?

Ja, ich weiß, dass ich ein längeres Passwort wählen kann, aber das ist nicht der Punkt. Ich möchte wissen, wie ich die Domänenrichtlinie überschreiben kann, falls dies in Zukunft erforderlich sein sollte.

windows active-directory group-policy hkkhkhhk
quelle

Antworten:

24

Es gibt immer eine Möglichkeit, zentrale Richtlinien zu umgehen, wenn Sie über lokalen Administratorzugriff verfügen. Zumindest können Sie Änderungen lokal an der Registrierung vornehmen und die Sicherheitseinstellungen hacken, damit sie nicht vom Gruppenrichtlinienagenten aktualisiert werden können. t der beste Weg zu gehen. Ich gebe zu, dass ich es vor 10 Jahren getan habe ... aber wirklich ... tu es nicht. In vielen Fällen gibt es unerwartete Ergebnisse.

Siehe diesen Technet- Artikel. Die Reihenfolge für die Richtlinienanwendung ist effektiv:

  1. Lokal
  2. Seite? ˅
  3. Domain
  4. OU

Spätere Richtlinien überschreiben frühere.

Sie können am besten eine Computergruppe erstellen und diese Gruppe verwenden, um entweder Ihre benutzerdefinierten Computer von der Kennwortkomplexitätsrichtlinie auszuschließen oder eine neue Richtlinie zu erstellen, die diese Standardeinstellungen außer Kraft setzt und so gefiltert wird, dass sie nur für diese Gruppe gilt.

Tim Brigham
quelle
4
Vielen Dank. Sehr informativ. Das ist aber sehr dumm. Ein lokaler Administrator sollte genau wie Linux root die vollständige Kontrolle über diesen bestimmten lokalen Computer haben.
hkkhkhhk
2
@hkkhkhhk - sogar root unter Linux hat Grenzen. :) Wenn Sie ein zentrales Verwaltungsprodukt wie Puppet oder Chef verwenden, werden die Richtlinien weiterhin herausgegeben und die vom lokalen Root-Konto vorgenommenen Änderungen werden wie bei Gruppenrichtlinien rückgängig gemacht. Das Design ist beabsichtigt - es zwingt die Leute dazu, skalierbare Methoden zu verwenden.
Tim Brigham
Aber als Linux root kann ich Puppet immer zu GTFO sagen, wenn ich es brauche;). Was ich meine ist, dass die lokale Konfiguration immer besser ist als die Remote-Konfiguration (denken Sie an NIS + oder LDAP-Authentifizierung). Alles, was der Puppet Deamon tut, ist, lokal angewendete Konfigurationen herauszuschieben.
hkkhkhhk
11
@hkkhkhhk - Es ist kein "dummes" Design. Ein Domain-Administrator hat immer Vorrang vor einem lokalen Administrator. Das ist der springende Punkt.
1
Hinzufügen zu hkkhkhhks Kommentar: Wenn Sie ein lokaler Administrator sind und nicht vom Domänenadministrator übertrumpft werden möchten, haben Sie die Möglichkeit, die Domäne zu verlassen. Sie sind jedoch nicht befugt, die in der Gruppenrichtlinie festgelegten Regeln der Domäne zu überschreiben. (Nun, Sie haben, aber nur durch Hacken wie in der Antwort beschrieben.)
Martin Liversage
18

Ich habe dies umgangen, indem ich ein Skript erstellt habe, das die Richtlinien überschreibt, die ich nicht in der Registrierung haben möchte (Sie können den Befehl "REG" in einem Stapelskript verwenden). Dieses Skript kann so eingestellt werden, dass es mit dem Taskplaner ausgeführt wird, unmittelbar nachdem der Gruppenrichtlinienclient die Anwendung der Richtlinie abgeschlossen hat, indem "Bei einem Ereignis" als Auslöser verwendet wird.

Der beste Ereignisauslöser, den ich gefunden habe, ist "Protokoll: Microsoft-Windows-GroupPolicy / Operational", "Quelle: GroupPolicy" und "Ereignis-ID: 8004". Sie können jedoch in den Protokollen der Ereignisanzeige nach weiteren Möglichkeiten suchen.

Aaron
quelle
1
Alter, du bist mein Held. Leute vergessen nicht, dass Sie, wenn Sie Registrierungsschlüssel ändern (wie bei der Windows-Firewall), den betreffenden Dienst neu starten müssen, damit er Ihre Änderungen übernimmt.
Brakertech
1

Eine mögliche Lösung für Windows 10 Enterprise. Ich habe es nicht in einer Domänenumgebung getestet. Ich habe es vor Ort getestet und es hat nicht c:\gpupdate /forcefunktioniert. Wenn ich den Mechanismus richtig verstehe, gehe ich davon aus, dass dadurch eine Grundkomponente zerstört wird, und garantiere dem Benutzer daher eine Erfolgsquote von 100%. Ich habe ein Tool verwendet, mit dem ich Binärdateien mit der Berechtigung TrustedInstaller / System ausführen kann. Sordum PowerRunin meinem Fall. Die Binärdatei, die ich mit diesen erhöhten Berechtigungen ausgeführt habe, war "services.msc". Ich habe dann angehalten (wenn gestartet) und deaktiviert Group Policy Client( Dienstname:) gpsvc. Es ist an diesem Punkt, dass c:\gpupdate /forcenicht mehr funktioniert. Ich bin keiner Domain beigetreten, aber der deaktivierte Starttyp blieb beim Neustart erhalten. Die Idee ist also, dass Sie die von den Domänencontrollern geerbten Gruppenrichtlinien zurücksetzen / ändern / überschreiben /gpsvcService, bevor ein anderer automatisiert gpupdateausgelöst wird. Das meiste davon ist meine Theorie, aber ich mag diese Lösung, wenn sie funktioniert, weil ich subjektiv der Meinung bin, dass sie ein hohes Maß an plausibler Verleugnung aufweist. "ähm ... muss sein, dass der Widder kaputt geht, flipping bits und so weiter."

Bearbeiten: Wurde ein Quirk gefunden, schaltet sich die Firewall aus, wenn gpsvcdeaktiviert ist: |

Effekt
quelle
-3

Entfernen Sie es aus der Domäne ... tun Sie alles, was Sie für den Computer tun müssen, und fügen Sie es dann erneut hinzu. Je nachdem, wie Ihr Gruppenrichtlinienobjekt eingerichtet ist, funktioniert dies in den meisten Situationen. In jedem Fall würde ich es von der IA-Mafia leiten lassen und schriftlich mitteilen, was auch immer Ihre Handlung erlaubt ist. Insbesondere wenn in den meisten Situationen eine Sicherheitsverletzung als Systemadministrator in Betracht gezogen wird, kann dies zu einer sofortigen Beendigung führen.

Darrell
quelle
2
Dies hat eine sehr geringe Chance zu arbeiten. Wenn die Synchronisierung der Gruppenrichtlinien das nächste Mal durchgeführt wird, hat sich alles wieder geändert.
Mstaessen