Как предотвратить применение групповой политики домена к локальной системе, помещенной в домен

Когда я пытаюсь поместить свою локальную систему в домен. Определенные групповые политики домена применяются к моей локальной системе, переопределяя мои настройки локальной групповой политики. Итак, как мне поступить и предотвратить применение объекта групповой политики домена к моей системе?


operating-system dns active-directory gpo group-policy
person 230490    schedule 04.06.2015    source источник

Ответы (3)


arrow_upward
1
arrow_downward

Если вы не являетесь администратором контроллера домена, вы не можете.

Любые объекты групповой политики, соответствующие вашему ПК или пользователю домена в фильтрации безопасности этого объекта групповой политики, будут применяться к ПК соответственно. учетная запись пользователя.

Обычно существуют объекты групповой политики, соответствующие очень широким группам пользователей/компьютеров, которые автоматически будут соответствовать любой новой добавленной машине. Это напр. группа «Прошедшие проверку».

Аутентифицированные пользователи включают в себя каждый аутентифицированный объект в Active Directory, включая всех пользователей домена, группы (определенные и входящие в AD) и компьютеры, присоединенные к домену.

Таким образом, единственным способом было бы изменить фильтрацию безопасности самих объектов групповой политики, чтобы исключить вашу машину. Например. удалите группу «Прошедшие проверку» из фильтрации безопасности и добавьте определенную группу безопасности, содержащую только список всех остальных ПК, кроме того, который следует исключить.

Путь грубой силы состоял бы в том, чтобы включить брандмауэр Windows и заблокировать соединение с контроллером домена или портами, необходимыми для связи GPO. Однако это лишило бы цели добавления ПК в домен в первую очередь.

person Hauke    schedule 05.06.2015

arrow_upward
0
arrow_downward

Как насчет использования наследования политики блокировки или концепции «Нет переопределения»?

person user3185008    schedule 10.06.2015

arrow_upward
0
arrow_downward

Возможный обходной путь, я не пробовал..

https://social.technet.microsoft.com/Forums/windows/en-US/9b21e6c6-ac08-4712-87b2-ec666347e3ea/to-disable-group-policy-когда-машина-не-подключенный-к-контроллеру-домена?forum=winserverGP

Если они все еще не подключены к локальной сети, вы не можете просто отключить групповую политику, потому что они ее не увидят, но все групповые политики изменяют ключи реестра для пользователя, поэтому укажите ключ реестра, и вы можете создать файл .reg, который может применяться для отмены групповой политики. Как только они окажутся в локальной сети, групповая политика возьмет на себя и вернет обратно.

person Ken    schedule 04.02.2016