W tym artykule porozmawiamy o innym niestandardowym problemie: pytaniach wyłącz zasady grupy na komputerze jako część domeny Windows. Dlaczego w rzeczywistości może potrzebować takiej funkcji? Odpowiedź na to pytanie w każdym przypadku jest indywidualna. Może to być chęć regionalnego administratora do ograniczenia stosowania ograniczeń nałożonych przez zasady grupy na jego działający komputer i / lub chęć pozostawienia czujnego oka bezpieczeństwa (i usunięcia programu antywirusowego lub określonego programu do kontroli dostępu do zewnętrznych mediów na swoim komputerze), lub Kolejny „ważny” powód (na przykład menedżer zadań jest wyłączony). Nie będziemy omawiać celowości i potencjalnych zagrożeń związanych z wyłączeniem zasad grupy na stacji roboczej w domenie. Spróbujemy tylko hipotetycznie: czy można wyłączyć działanie zasad grupy na komputerze z systemem Windows.
Odpowiadam: tak, możesz upewnić się, że zasady grupy nie są stosowane do komputera w domenie, a do tego nie musisz mieć uprawnień administratora domeny / przedsiębiorstwa. Wystarczy mieć uprawnienia lokalnego administratora na komputerze, który nas interesuje (i to po raz kolejny to sugeruje NIE daj użytkownikom uprawnienia administratora do stacji roboczych!).
Poniższy tekst odnosi się do klienta opartego na systemie Windows 7, ale istnieją dobre powody, by sądzić, że metoda będzie działać również na innych systemach operacyjnych klienta.
Wszyscy wiemy, że usługa odpowiada za stosowanie zasad grupy w systemie Windows 7 Klient zasad grupy (gpsvc), dlatego logicznym działaniem jest po prostu wyłączenie tej usługi. Można to zrobić, uruchamiając system w trybie awaryjnym lub uruchamiając cmd jako system
i uruchomienie polecenia
net stop gpsvc
Problem polega jednak na tym, że po chwili sam system uruchomi tę usługę i nie można nic z tym zrobić.
Istnieje jednak bardziej oryginalne rozwiązanie: całkowite zabronienie dostępu systemu do tej usługi, w wyniku czego po prostu nie będzie mieć prawa do jej uruchomienia. Jak pamiętasz, parametry wszystkich usług są przechowywane w rejestrze, a naszym zadaniem jest całkowite usunięcie uprawnień z systemu do usługi zasad grupy..
Aby to zrobić:
- otwórz edytor rejestru regedit.exe
- Znajdź oddział HKLM \ SYSTEM \ CurrentControlSet \ services \ gpsvc (jest to tylko gałąź usługi klienta zasad grupy)
- Kliknij prawym przyciskiem myszy gałąź gpsrv i wybierz Uprawnienia, a następnie przejdź do karty Właściciel i stań się właścicielem oddziału
- Następnie na karcie Uprawnienia usuń prawa dla wszystkich oprócz konta, w wyniku czego prawa będą wyglądać następująco
- Następnie zmieniamy typ uruchamiania usługi klienta zasad grupy na „Wyłączone”, można to zrobić, zmieniając wartość klucza Start z 2) na 4
- Uruchom ponownie i sprawdź, czy zasady grupy nie mają już zastosowania po uruchomieniu.
Ale jest jeden problem: przy takim wyłączeniu okno z tekstem okresowo pojawia się w zasobniku: Nie udało się połączyć z usługą Windows. System Windows nie może połączyć się z usługą klienta zasad grupy. Ten problem uniemożliwia zwykłym użytkownikom logowanie się do systemu.
Jako użytkownik administracyjny możesz przejrzeć Dziennik zdarzeń systemowych, aby uzyskać szczegółowe informacje o tym, dlaczego usługa nie odpowiedziała.
Ale to ostrzeżenie można również wyłączyć, dla których otwieramy edytor rejestru:
- Szukamy oddziału HKLM \ SYSTEM \ CurrentControlSet \ Control \ Winlogon \ Notifications \ Components \ GPClient
- Stajemy się również jego właścicielem i dajemy sobie pełne prawa do tego wątku
- Wykonujemy kopię zapasową tego oddziału, a następnie usuwamy
Tak proste i wystarczająco szybkie, że całkowicie wyłączyliśmy klienta zasad grupy w systemie Windows 7, w wyniku czego możesz zrobić wszystko z komputerem. Ale nie pozwól administratorom domeny lub usłudze bezpieczeństwa komputerowego znaleźć się, w przeciwnym razie będzie to bolało! 🙂