Когда я пытаюсь поместить свою локальную систему в домен. Определенные групповые политики домена применяются к моей локальной системе, переопределяя мои настройки локальной групповой политики. Итак, как мне поступить и предотвратить применение объекта групповой политики домена к моей системе?
Как предотвратить применение групповой политики домена к локальной системе, помещенной в домен
Ответы (3)
Если вы не являетесь администратором контроллера домена, вы не можете.
Любые объекты групповой политики, соответствующие вашему ПК или пользователю домена в фильтрации безопасности этого объекта групповой политики, будут применяться к ПК соответственно. учетная запись пользователя.
Обычно существуют объекты групповой политики, соответствующие очень широким группам пользователей/компьютеров, которые автоматически будут соответствовать любой новой добавленной машине. Это напр. группа «Прошедшие проверку».
Аутентифицированные пользователи включают в себя каждый аутентифицированный объект в Active Directory, включая всех пользователей домена, группы (определенные и входящие в AD) и компьютеры, присоединенные к домену.
Таким образом, единственным способом было бы изменить фильтрацию безопасности самих объектов групповой политики, чтобы исключить вашу машину. Например. удалите группу «Прошедшие проверку» из фильтрации безопасности и добавьте определенную группу безопасности, содержащую только список всех остальных ПК, кроме того, который следует исключить.
Путь грубой силы состоял бы в том, чтобы включить брандмауэр Windows и заблокировать соединение с контроллером домена или портами, необходимыми для связи GPO. Однако это лишило бы цели добавления ПК в домен в первую очередь.
Как насчет использования наследования политики блокировки или концепции «Нет переопределения»?
Возможный обходной путь, я не пробовал..
Если они все еще не подключены к локальной сети, вы не можете просто отключить групповую политику, потому что они ее не увидят, но все групповые политики изменяют ключи реестра для пользователя, поэтому укажите ключ реестра, и вы можете создать файл .reg, который может применяться для отмены групповой политики. Как только они окажутся в локальной сети, групповая политика возьмет на себя и вернет обратно.