Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Как на раб. станции отменить групповую политику (GPO)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2

Открыть новую тему     Написать ответ в эту тему

abasov



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Как на раб. станции отменить групповую политику (GPO), Но при этом машина должна остаться в домене?

Всего записей: 345 | Зарегистр. 12-11-2002 | Отправлено: 12:50 12-04-2005
G14



Добрый фей
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
abasov
можешь подробнее описать чего ты хочешь ?
» Обзор (карта) форума "В помощь системному администратору" : Групповые политики (Group Policy): документация, FAQ, ссылки

----------
http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.)

Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 13:47 12-04-2005 | Исправлено: G14, 13:48 12-04-2005
nnstepan



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
О какой групповой политике ты говоришь? Локальная? Доменная? или собственноручно созданная?
Открываешь AD - Пользователи и компьютеры, смотришь в каком контейнере (OU) находится эта рабочая станция. Далее смотришь на каком контейнере (OU) находится политика, которая не должна применяться на эту рабочую станцию. Создай новый контейнер и перенеси туда эту раб. станцию, чтобы политика к нему не применялась. Ежели это доменная политика, то создай свою на этом контейнере и переназначь необходимые тебе параметры.
Еще способ - запрети чтение политики на уровне NTFS.

Всего записей: 115 | Зарегистр. 01-02-2005 | Отправлено: 14:07 12-04-2005
Xon



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
nnstepan

Цитата:
Еще способ - запрети чтение политики на уровне NTFS.

Не лучший вариант, в логах на клиенте будет полный жёлто-красный беспредел.

Всего записей: 89 | Зарегистр. 23-09-2004 | Отправлено: 15:20 12-04-2005
abasov



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я говорю о доменной политике применяемой к рабочей станции. Возможно ли на раб. станции отменить доменную политику, я пока не нашел вариантов, кроме как перекрыть на сетевом уровне, по портам, но при этом машина (раб станция) "выпадает"  из домена. Вопрос интересен в первую очередь теоретически, сможет ли продвинутый юзер (с правами локального админа) отменить политику, думаю администраторам интересно будет рассмотреть данный вопрос, что бы своевременно схватить за кадык
Если возможно на уровне разграничения прав реестра, то где? Есть подозрение, что после изменения прав доступа к реестру, система вывалится в "краш-дебаг"

Всего записей: 345 | Зарегистр. 12-11-2002 | Отправлено: 07:27 13-04-2005 | Исправлено: abasov, 11:40 13-04-2005
Alan Mon

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
abasov
Самому экспериментировать лень, но попробуй выдернуть сетевой шнурок и включить его уже после логона. Если, конечно, не запрещен логон из кеша. Т.к. политика применяется в момент старта и логона, вполне возможно, что проскочит. Правда ненадолго, часа на полтора.

----------
Ребята, давайте жить дружно. Кот Леопольд

Всего записей: 1116 | Зарегистр. 22-07-2004 | Отправлено: 10:42 13-04-2005
nnstepan



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alan Mon
 
А где разрешается/запрещается логон из кэша?

Всего записей: 115 | Зарегистр. 01-02-2005 | Отправлено: 13:52 13-04-2005
Alan Mon

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
nnstepan
В групповой политике, вестимо:
"Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Параметры безопасности\Количество предыдущих подключений к кешу"
Или через реестр:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\cachedlogonscount
По умолчанию там 10

----------
Ребята, давайте жить дружно. Кот Леопольд

Всего записей: 1116 | Зарегистр. 22-07-2004 | Отправлено: 14:25 13-04-2005
aleksiom

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Немного трепа, если позволите. Если кто из сисадминов знает способы , как отменить доменные GP на локальной станции, то вряд ли будет об этом распространяться( этот форум ведь и те самые "продвинутые пользователи" читают). И широкое распространение этих способов , ведет лишь к неуправляемости сети. Зачем админу лишняя головная боль. Да и Microsoft , если бы считала нужным, выдала бы статью, как отменить GP. Ан нет.

Всего записей: 2403 | Зарегистр. 04-04-2004 | Отправлено: 09:12 18-06-2005
defined

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
_http://www.networkdoc.ru/files/insop/win2003/print.html?stop-user-policy.html
Статья "Локальный администратор может отключить User Policy" более чем годовалой давности..

Всего записей: 497 | Зарегистр. 04-09-2004 | Отправлено: 20:39 18-06-2005
aleksiom

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
to defined
 
Всего лишь частный случай.
Касается только User Policy и только Win 2003, да плюс перемещаемые профили...
Мало кто станет так геморроится.
 
 
 
 

Всего записей: 2403 | Зарегистр. 04-04-2004 | Отправлено: 23:09 18-06-2005
Root1



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Перекинь учётку в группу локальных админов и не парься...или я чего то непонел

Всего записей: 92 | Зарегистр. 21-04-2005 | Отправлено: 22:56 19-06-2005
defined

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
aleksiom
"всего лишь частный" или "ну хоть какая-то инфа" ? других-то работоспособный вариантов (без дёрганья кабелей и написания доп. ПО бликирующего чтение именно файлов политики с сервера) вроде небыло
 
Root1
речь о том, что доменные политики перекрывают локальные и нужные этого избежать как-то без выноса компьютера из домена..

Всего записей: 497 | Зарегистр. 04-09-2004 | Отправлено: 20:52 20-06-2005
G14



Добрый фей
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
abasov

Цитата:
Вопрос интересен в первую очередь теоретически, сможет ли продвинутый юзер (с правами локального админа) отменить политику

Нет. Корректно (не выводя машину из домена и не имея доступа к контроллерам)отменить не сможет. (пердвидя реплику про права на ветви реестра - это имо, некорректно, так как логи машины будут "желто-красными"). Но сможет исправить параметры руками. Но политика применится через некоторое время (90+- 30 минут по умолчанию) снова, так что это бой с ветряными мельницами.
А вообще то это дубль :
» Групповая политика домена на локального администратора

----------
http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.)

Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 09:29 21-06-2005
Dimsoft

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если локальный админ может пользоватся программой regedit (f он может то можно просто поправить значения в реестре которые внесла политика и заодно поставить на эти ключи в реестре запрет на изменение системой - все нет больше вашей политики (правда в логах будет кошмар)

Всего записей: 2750 | Зарегистр. 17-11-2003 | Отправлено: 22:50 02-11-2005
vetvetvet

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
G14 а как вообще из домена выйти, но в сети остаться?

Всего записей: 1904 | Зарегистр. 23-12-2005 | Отправлено: 19:01 03-07-2006
Dilk

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
За применение политик отвечают некие локальные файлы (для каждой группы настроек). Их удаление приведет к тому, что нечем будет политикам обрабатываться, а значит и не будет их применения. Гуглите дальше, товарищи!

Всего записей: 7 | Зарегистр. 10-01-2006 | Отправлено: 09:55 10-09-2007
Ed_73



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Наследование настроек групповых политик родительского контейнера дочерним контейнером, с которым связан собственный объект групповой политики, может иметь место только в случае совместимости этих групповых политик. Например, если политика родительского контейнера задает определенную конфигурацию рабочего стола компьютера пользователя, а политика дочернего контейнера дополняет ее, пользователь увидит на своем рабочем столе все элементы, заданные обеими политиками. Если же групповая политика родительского контейнера противоречит групповой политике дочернего контейнера,, выполняются только настройки GPO, связанного с дочерним контейнером.

сдесь говориться про контенеры, а если я локальный одмин запущу локальную политику безопасности и поправлю то что наменял доменный админ, грубо говоря разрешу то что мне запретили то получается... я перекрою политику домена для данной машины?

Всего записей: 137 | Зарегистр. 07-09-2007 | Отправлено: 11:14 10-09-2007
Dilk

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доменные политики перекрывают локальные и имееют больший "приоритет". Тем самым если что-то прописано доменным админом в политике домена, то данные настройки через локальную политику не поменять. Однако не заданные параметры можешь менять как угодно.

Всего записей: 7 | Зарегистр. 10-01-2006 | Отправлено: 13:05 13-09-2007
wolk05

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Надо удалить файл "c:\WINDOWS\system32\scecli.dll" и политики не будут применяться вообще (и удалить его везде, чтоб не востановился). На серваках правда будут ошибки в логах (не на контроллере). На рабочих станциях даже ошибок нет.

Всего записей: 92 | Зарегистр. 06-12-2004 | Отправлено: 07:55 10-01-2008
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Как на раб. станции отменить групповую политику (GPO)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru