로컬 그룹 정책으로 로컬 그룹 정책을 사용하여 도메인 그룹 정책을 재정의 할 수 있습니까?

몇 가지 특수한 케이스 랩톱을 프로비저닝하려고합니다. 로컬 게스트 계정을 만들고 싶습니다. 괜찮지 만 게스트 비밀번호를 만들 때 게스트 비밀번호가 복잡성 요구 사항을 충족하지 않도록 요청했습니다.

복잡성을 변경하기 위해 로컬 보안 정책을 편집하려고 시도했지만 회색으로 표시됩니다. 도메인 정책을 로컬로 재정의 할 수 있습니까?

예, 더 긴 비밀번호를 선택할 수 있지만 그게 중요하지 않습니다. 나중에 필요할 경우를 대비하여 도메인 정책을 재정의하는 방법을 알고 싶습니다.

로컬 관리자 액세스 권한이있는 경우 중앙 정책을 해킹하는 방법이 항상 있습니다. 최소한 레지스트리를 로컬로 변경하고 보안 설정을 해킹하여 그룹 정책 에이전트가 업데이트 할 수 없도록 할 수 있습니다. 최선의 방법. 10 년 전에는 인정하지만 정말 .. 많은 경우에 예기치 않은 결과가 있습니다.

이 참조 은 TechNet 기사를. 정책 적용 순서는 다음과 같습니다.

1. 노동 조합 지부
2. 대지
3. 도메인
4. OU

이후의 정책은 이전의 정책을 덮어 씁니다.

가장 좋은 방법은 컴퓨터 그룹을 만들고 해당 그룹을 사용하여 암호 복잡성 정책에서 사용자 지정 컴퓨터를 제외하거나이 기본값에만 적용되는 새 정책을 구성하여이 그룹에만 적용되도록 필터링하는 것입니다.

레지스트리에서 원하지 않는 정책을 덮어 쓰는 스크립트를 작성하여이 문제를 해결했습니다 (일괄 스크립트에서 "REG"명령을 사용할 수 있음). 이 스크립트는 "이벤트 발생시"를 트리거로 사용하여 그룹 정책 클라이언트가 정책 적용을 완료 한 직후 작업 스케줄러를 사용하여 실행되도록 설정할 수 있습니다.

내가 찾은 가장 좋은 이벤트 트리거는 Log : Microsoft-Windows-GroupPolicy / Operational, Source : GroupPolicy 및 Event ID : 8004이지만 이벤트 뷰어 로그에서 추가 가능성을 확인할 수 있습니다.

Windows 10 Enterprise를 사용하는 잠재적 인 솔루션. 도메인 환경에서 테스트하지 않았습니다. 로컬에서 테스트 c:\gpupdate /force했으며 완전히 작동 하지 않았습니다 . 메커니즘을 올바르게 이해하면 이것이 기본 구성 요소를 깨뜨릴 것이라고 가정하여 사용자에게 100 % 성공률을 보장합니다. TrustedInstaller / System 권한으로 바이너리를 실행할 수있는 도구를 사용했습니다. Sordum PowerRun나의 경우에는. 이 높은 권한으로 실행 한 바이너리는 "services.msc"입니다. 그런 다음 중지 (시작된 경우) 및 비활성화 Group Policy Client(서비스 이름 :) gpsvc. 이 시점에서 c:\gpupdate /force더 이상 작동하지 않습니다. 도메인에 가입하지 않았지만 비활성화 된 시작 유형은 재부팅을 통해 지속되었습니다. 따라서 아이디어는 도메인 컨트롤러에서 상속 된 그룹 정책을 되돌 리거나 변경 / 재정의하고 /gpsvc다른 자동 gpupdate발사 전에 서비스 . 이것의 대부분은 나의 이론이지만, 그것이 효과가 있다면이 솔루션이 마음에 든다. "어 .. 나쁜 램, 플립 핀 비트 등은 아니야"

편집 : 기발한 것을 발견하면 방화벽 gpsvc이 비활성화 되면 자체적으로 꺼집니다 : |

도메인에서 제거하십시오 ... 머신에 필요한 모든 작업을 수행 한 후 다시 추가하십시오. GPO 설정 방법에 따라 대부분의 상황에서 작동합니다. 어느 쪽이든 내가 IA 마피아에 의해 그것을 실행하고 당신의 행동이 승인 된 것을 서면으로 뭔가를 얻을 것입니다. 특히 대부분의 상황에서 sysadmin으로서의 보안 위반은 즉시 종료 될 수 있습니다.