Posso substituir a política de grupo de domínio pela política de grupo local como administrador local?

Estou tentando provisionar alguns laptops especiais. Gostaria de criar uma conta de convidado local. Tudo bem, mas quando tento criá-lo, solicitei que minha senha de convidado não atendesse aos requisitos de complexidade.

Tentei editar a política de segurança local para alterar a complexidade, mas isso está acinzentado. É possível substituir a diretiva de domínio por local?

Sim, eu sei que posso escolher uma senha mais longa, mas esse não é o ponto. Quero saber como substituir a diretiva de domínio, caso precise no futuro.

Sempre há uma maneira de hackear políticas centrais se você tiver acesso de administrador local - no mínimo, você pode fazer alterações localmente no registro e hackear as configurações de segurança para que não possam ser atualizadas pelo agente de política de grupo - mas não é ' o melhor caminho a percorrer. Eu admito fazer isso há 10 anos ... mas realmente ... não. Existem resultados imprevistos em muitos casos.

Veja este artigo técnico . A ordem para aplicação da política é efetivamente:

1. Local
2. Local
3. Domínio
4. OU

As políticas posteriores substituirão as anteriores.

Sua melhor aposta é criar um grupo de computadores e usá-lo para excluir seus computadores personalizados da política de complexidade de senhas ou montar uma nova política que substitua esses padrões, filtrada para se aplicar apenas a esse grupo.

Eu resolvi isso criando um script que substitui as diretivas que não desejo no registro (você pode usar o comando "REG" em um script em lotes). Esse script pode ser definido para ser executado usando o Agendador de tarefas, imediatamente após o cliente da Diretiva de Grupo terminar de aplicar a diretiva, usando "Em um evento" como acionador.

O melhor gatilho de evento que encontrei é Log: Microsoft-Windows-GroupPolicy / Operational, Origem: GroupPolicy e ID do Evento: 8004, mas você pode verificar os logs do visualizador de eventos para obter algumas possibilidades adicionais.

Uma solução potencial, usando o Windows 10 Enterprise. Não testei em um ambiente de domínio. Eu testei localmente e impedi-lo c:\gpupdate /forcede funcionar completamente. Se eu entendi o mecanismo corretamente, presumo que isso irá quebrar um componente da fundação e, portanto, garanta ao usuário 100% de sucesso. Usei uma ferramenta que me permite executar binários com autoridade TrustedInstaller / System. Sordum PowerRunNo meu caso. O binário que eu executei com essas permissões elevadas era "services.msc". Em seguida, parei (se iniciado) e desabilitei Group Policy Client(nome do serviço:) gpsvc. É nesse ponto que c:\gpupdate /forcenão funciona mais. Não ingresso em um domínio, mas o tipo de inicialização desabilitado persistiu durante as reinicializações. Portanto, a idéia é reverter / alterar / substituir / quaisquer políticas de grupo herdadas dos controladores de domínio,gpsvcserviço antes que outro automatizado seja gpupdateacionado. A maior parte disso é minha teoria, mas eu gosto dessa solução, se funcionar, porque subjetivamente sinto que ela tem um alto nível de negação plausível. "uhh .. deve ser o carneiro indo mal, jogando bits e outros enfeites"

Editar: encontrou uma peculiaridade, o firewall se desliga se gpsvcestiver desativado: |

Remova-o do domínio ... faça o que for necessário na máquina e adicione-o novamente. dependendo da configuração do seu GPO, isso funciona na maioria das situações. De qualquer maneira, eu diria isso pela máfia da IA ​​e obteria algo por escrito, informando o que você está autorizado a fazer. Especialmente considerando na maioria das situações, uma violação de segurança como administrador de sistemas pode resultar em rescisão imediata.