로컬 그룹 정책으로 로컬 그룹 정책을 사용하여 도메인 그룹 정책을 재정의 할 수 있습니까?


24

몇 가지 특수한 케이스 랩톱을 프로비저닝하려고합니다. 로컬 게스트 계정을 만들고 싶습니다. 괜찮지 만 게스트 비밀번호를 만들 때 게스트 비밀번호가 복잡성 요구 사항을 충족하지 않도록 요청했습니다.

복잡성을 변경하기 위해 로컬 보안 정책을 편집하려고 시도했지만 회색으로 표시됩니다. 도메인 정책을 로컬로 재정의 할 수 있습니까?

예, 더 긴 비밀번호를 선택할 수 있지만 그게 중요하지 않습니다. 나중에 필요할 경우를 대비하여 도메인 정책을 재정의하는 방법을 알고 싶습니다.

답변:


24

로컬 관리자 액세스 권한이있는 경우 중앙 정책을 해킹하는 방법이 항상 있습니다. 최소한 레지스트리를 로컬로 변경하고 보안 설정을 해킹하여 그룹 정책 에이전트가 업데이트 할 수 없도록 할 수 있습니다. 최선의 방법. 10 년 전에는 인정하지만 정말 .. 많은 경우에 예기치 않은 결과가 있습니다.

이 참조 은 TechNet 기사를. 정책 적용 순서는 다음과 같습니다.

  1. 노동 조합 지부
  2. 대지
  3. 도메인
  4. OU

이후의 정책은 이전의 정책을 덮어 씁니다.

가장 좋은 방법은 컴퓨터 그룹을 만들고 해당 그룹을 사용하여 암호 복잡성 정책에서 사용자 지정 컴퓨터를 제외하거나이 기본값에만 적용되는 새 정책을 구성하여이 그룹에만 적용되도록 필터링하는 것입니다.


4
고맙습니다. 매우 유익합니다. 그것은 매우 바보입니다. 로컬 관리자는 Linux 루트와 같은 특정 로컬 시스템을 완전히 제어해야합니다.
hkkhkhhk

2
@hkkhkhhk-Linux의 루트조차도 한계가 있습니다. :) Puppet 또는 Chef와 같은 중앙 집중식 관리 제품을 사용하는 경우 그룹 정책과 마찬가지로 정책을 계속 추진하고 로컬 루트 계정의 변경 사항을 되돌립니다. 디자인은 의도적입니다. 사람들이 확장 가능한 방법을 사용하도록 강요합니다.
팀 브리검

그러나 Linux 루트로서 필자는 항상 필요하다면 Puppet에게 GTFO에게 말할 수있다.). 의미하는 것은 로컬 구성이 항상 원격보다 우수하다는 것입니다 (NIS + 또는 LDAP 인증을 생각하십시오). 퍼펫 데몬이하는 모든 작업은 기본적으로 로컬로 적용되는 구성을 푸시하는 것입니다.
hkkhkhhk

11
@hkkhkhhk- "멍청한"디자인이 아닙니다. 도메인 관리자는 항상 로컬 관리자보다 우선합니다. 그게 요점입니다.

1
hkkhkhhk의 의견에 추가하려면 : 귀하가 로컬 관리자이고 도메인 관리자에 의해 엉망이되지 않으려면 도메인을 떠나야합니다. 그러나 그룹 정책에서 설정 한 도메인 규칙을 재정의 할 권한이 없습니다. (음, 당신은 대답에 설명 된대로 해킹에 의해서만 있습니다.)
Martin Liversage

18

레지스트리에서 원하지 않는 정책을 덮어 쓰는 스크립트를 작성하여이 문제를 해결했습니다 (일괄 스크립트에서 "REG"명령을 사용할 수 있음). 이 스크립트는 "이벤트 발생시"를 트리거로 사용하여 그룹 정책 클라이언트가 정책 적용을 완료 한 직후 작업 스케줄러를 사용하여 실행되도록 설정할 수 있습니다.

내가 찾은 가장 좋은 이벤트 트리거는 Log : Microsoft-Windows-GroupPolicy / Operational, Source : GroupPolicy 및 Event ID : 8004이지만 이벤트 뷰어 로그에서 추가 가능성을 확인할 수 있습니다.


1
야 너는 내 영웅이야 Windows 방화벽과 같은 레지스트리 키를 수정하는 경우 변경 사항을 적용하기 위해 해당 서비스를 다시 시작해야한다는 것을 잊지 마십시오.
brakertech

1

Windows 10 Enterprise를 사용하는 잠재적 인 솔루션. 도메인 환경에서 테스트하지 않았습니다. 로컬에서 테스트 c:\gpupdate /force했으며 완전히 작동 하지 않았습니다 . 메커니즘을 올바르게 이해하면 이것이 기본 구성 요소를 깨뜨릴 것이라고 가정하여 사용자에게 100 % 성공률을 보장합니다. TrustedInstaller / System 권한으로 바이너리를 실행할 수있는 도구를 사용했습니다. Sordum PowerRun나의 경우에는. 이 높은 권한으로 실행 한 바이너리는 "services.msc"입니다. 그런 다음 중지 (시작된 경우) 및 비활성화 Group Policy Client(서비스 이름 :) gpsvc. 이 시점에서 c:\gpupdate /force더 이상 작동하지 않습니다. 도메인에 가입하지 않았지만 비활성화 된 시작 유형은 재부팅을 통해 지속되었습니다. 따라서 아이디어는 도메인 컨트롤러에서 상속 된 그룹 정책을 되돌 리거나 변경 / 재정의하고 /gpsvc다른 자동 gpupdate발사 전에 서비스 . 이것의 대부분은 나의 이론이지만, 그것이 효과가 있다면이 솔루션이 마음에 든다. "어 .. 나쁜 램, 플립 핀 비트 등은 아니야"

편집 : 기발한 것을 발견하면 방화벽 gpsvc이 비활성화 되면 자체적으로 꺼집니다 : |


-3

도메인에서 제거하십시오 ... 머신에 필요한 모든 작업을 수행 한 후 다시 추가하십시오. GPO 설정 방법에 따라 대부분의 상황에서 작동합니다. 어느 쪽이든 내가 IA 마피아에 의해 그것을 실행하고 당신의 행동이 승인 된 것을 서면으로 뭔가를 얻을 것입니다. 특히 대부분의 상황에서 sysadmin으로서의 보안 위반은 즉시 종료 될 수 있습니다.


2
이것은 일할 가능성이 거의 없습니다. 다음에 그룹 정책 동기화가 이루어지면 모든 것이 다시 변경됩니다.
mstaessen
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.