답변:
로컬 관리자 액세스 권한이있는 경우 중앙 정책을 해킹하는 방법이 항상 있습니다. 최소한 레지스트리를 로컬로 변경하고 보안 설정을 해킹하여 그룹 정책 에이전트가 업데이트 할 수 없도록 할 수 있습니다. 최선의 방법. 10 년 전에는 인정하지만 정말 .. 많은 경우에 예기치 않은 결과가 있습니다.
이 참조 은 TechNet 기사를. 정책 적용 순서는 다음과 같습니다.
이후의 정책은 이전의 정책을 덮어 씁니다.
가장 좋은 방법은 컴퓨터 그룹을 만들고 해당 그룹을 사용하여 암호 복잡성 정책에서 사용자 지정 컴퓨터를 제외하거나이 기본값에만 적용되는 새 정책을 구성하여이 그룹에만 적용되도록 필터링하는 것입니다.
레지스트리에서 원하지 않는 정책을 덮어 쓰는 스크립트를 작성하여이 문제를 해결했습니다 (일괄 스크립트에서 "REG"명령을 사용할 수 있음). 이 스크립트는 "이벤트 발생시"를 트리거로 사용하여 그룹 정책 클라이언트가 정책 적용을 완료 한 직후 작업 스케줄러를 사용하여 실행되도록 설정할 수 있습니다.
내가 찾은 가장 좋은 이벤트 트리거는 Log : Microsoft-Windows-GroupPolicy / Operational, Source : GroupPolicy 및 Event ID : 8004이지만 이벤트 뷰어 로그에서 추가 가능성을 확인할 수 있습니다.
Windows 10 Enterprise를 사용하는 잠재적 인 솔루션. 도메인 환경에서 테스트하지 않았습니다. 로컬에서 테스트 c:\gpupdate /force
했으며 완전히 작동 하지 않았습니다 . 메커니즘을 올바르게 이해하면 이것이 기본 구성 요소를 깨뜨릴 것이라고 가정하여 사용자에게 100 % 성공률을 보장합니다. TrustedInstaller / System 권한으로 바이너리를 실행할 수있는 도구를 사용했습니다. Sordum PowerRun
나의 경우에는. 이 높은 권한으로 실행 한 바이너리는 "services.msc"입니다. 그런 다음 중지 (시작된 경우) 및 비활성화 Group Policy Client
(서비스 이름 :) gpsvc
. 이 시점에서 c:\gpupdate /force
더 이상 작동하지 않습니다. 도메인에 가입하지 않았지만 비활성화 된 시작 유형은 재부팅을 통해 지속되었습니다. 따라서 아이디어는 도메인 컨트롤러에서 상속 된 그룹 정책을 되돌 리거나 변경 / 재정의하고 /gpsvc
다른 자동 gpupdate
발사 전에 서비스 . 이것의 대부분은 나의 이론이지만, 그것이 효과가 있다면이 솔루션이 마음에 든다. "어 .. 나쁜 램, 플립 핀 비트 등은 아니야"
편집 : 기발한 것을 발견하면 방화벽 gpsvc
이 비활성화 되면 자체적으로 꺼집니다 : |